返回列表 发帖
ufo

Rank: 4

UID
29849 
帖子
85 
精华
贡献
0  
推广
0  
有效BUG
0  
注册时间
2006-11-23 
1# 跳转到 » 倒序看帖
打印
tT
发表于 2009-3-14 11:34 | 只看该作者

[问题求助] 酷狗**被挂马了吗?

娱乐
系统环境:SP3 TW2.4.0.7 IE7 360打完所有补丁。用的广告过滤交流里的基础黑名单。
问题发生具体情况:浏览
  1. http://yule.kugou.com/star/qzbs/09b97d2e7ef06e30_3.html
复制代码

刚开始发现机器速度极慢,打开任务管理器,TW居然占用600M+虚拟内存。
后关闭【使用黑名单过滤页面内的特定元素】,依然狂占虚存。
复单独拷贝TW至新文件夹,打开上述页面还是狂占虚存。
又发现上方有提示,要安装插件?!点了试试,Windows安全措施不让安装?!于是用【页面元素查看器】嗅探*.exe*,得地址如下:
  1. http://w1.fsdfe.com/01/l1.exe
复制代码

提交到https://www.virustotal.com,结果如下:
  1. 文件 l1.exe **于 2009.03.14 03:58:22 (CET)
  2. 结果: 33/39 (84.62%)
复制代码

提交到http://www.virscan.org,结果如下:
  1. 文件信息
  2. 文件名称 :   l1.exe
  3. 文件大小 :   54896 byte
  4. 文件类型 :   PE32 executable for MS Windows (GUI) Intel 80386 32-bit
  5. MD5 :   79c2451efe2fd471306a7f04d04b5d87
  6. SHA1 :   3a4a2b2d31abf11015739424670c61a0a52992c5
  7. 扫描结果
  8. 扫描结果 :   78%的杀软(29/37)报告发现病毒
复制代码

期间还发现只要在host里屏蔽掉
  1. s.gdgr3e.cn
复制代码

就不会占虚存。
但是奇怪的是,用IE7打开(即便未屏蔽那个网站)很流畅,且没有什么提示,也没有中毒。
收藏 分享

412268499

Rank: 12Rank: 12Rank: 12

UID
71365 
帖子
10480 
精华
贡献
8  
推广
1  
有效BUG
0  
注册时间
2007-10-3 

体验用户6-10个有效BUG
2#
发表于 2009-3-14 11:55 | 只看该作者
你应该去酷狗的论坛问 或者用IE开看看是不是也是这种情况
Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36 TheWorld 6

TOP

ufo

Rank: 4

UID
29849 
帖子
85 
精华
贡献
0  
推广
0  
有效BUG
0  
注册时间
2006-11-23 
3#
发表于 2009-3-14 11:57 | 只看该作者

代码我看着头晕。有没有人帮忙分析下?
究竟是在哪引入
  1. s.gdgr3e.cn
复制代码
的?又是在哪引入
  1. http://w1.fsdfe.com/01/l1.exe
复制代码
的?
附件: 您需要登录才可以下载或查看附件。没有帐号?加入 我们

TOP

ufo

Rank: 4

UID
29849 
帖子
85 
精华
贡献
0  
推广
0  
有效BUG
0  
注册时间
2006-11-23 
4#
发表于 2009-3-14 12:00 | 只看该作者
我在主贴最后已经说明IE7打开并无问题,且没有中毒。这也是我最奇怪的地方。。。

TOP

412268499

Rank: 12Rank: 12Rank: 12

UID
71365 
帖子
10480 
精华
贡献
8  
推广
1  
有效BUG
0  
注册时间
2007-10-3 

体验用户6-10个有效BUG
5#
发表于 2009-3-14 12:01 | 只看该作者
时间        模块        对象        名称        病毒        操作        用户名称        信息
2009-3-14 12:01:12        IMON        文件               Win32/AutoRun.ADC 蠕虫的变种

楼主把上面能下载的链接改掉吧,以免其他人点到
Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36 TheWorld 6

TOP

wxp0923

Rank: 8Rank: 8

UID
178928 
帖子
706 
精华
贡献
0  
推广
0  
有效BUG
0  
注册时间
2009-2-9 
6#
发表于 2009-3-14 12:29 | 只看该作者
我靠,是病毒啊
O(∩_∩)O哈哈~

TOP

ufo

Rank: 4

UID
29849 
帖子
85 
精华
贡献
0  
推广
0  
有效BUG
0  
注册时间
2006-11-23 
7#
发表于 2009-3-14 12:54 | 只看该作者
除了上传的网页源文件,还有两个在线多引擎杀毒,没有链接~~你让我去哪个啊?我都是代码方式,不是url方式

TOP

Aycox

Rank: 16Rank: 16Rank: 16Rank: 16

UID
5053 
帖子
6105 
精华
13 
贡献
33  
推广
0  
有效BUG
0  
注册时间
2005-11-24 
8#
发表于 2009-3-14 16:03 | 只看该作者
可以去酷狗的客服区看看,就楼主发帖那时段尽是报毒的。
这个应该是挂马了,楼主的附件没啥用处,要保存就选保存全部,楼主host屏蔽的网址应该就是初始来源,至于具体如何引入的,这有待安全高人去分析了,你可以到相关论坛去试下。
我刚实机去看了哈无问题,现在应该已经修复。至于IE抗毒性的命题不回答也罢

TOP

ufo

Rank: 4

UID
29849 
帖子
85 
精华
贡献
0  
推广
0  
有效BUG
0  
注册时间
2006-11-23 
9#
发表于 2009-3-14 16:40 | 只看该作者
去看来。据说是手机铃声页面挂马。。用酷狗客户端,也会有手机铃声广告。所以客户端广告都可导致中毒。。
至于为啥用IE不中,实在神奇。。我还裸奔D。。没装杀软。

现在去那网页,已经不卡不耗虚存了。。

TOP

返回列表