标题:
[问题求助]
酷狗**被挂马了吗?
[打印本页]
作者:
ufo
时间:
2009-3-14 11:34
标题:
酷狗**被挂马了吗?
系统环境:SP3 TW2.4.0.7 IE7 360打完所有补丁。用的广告过滤交流里的基础黑名单。
问题发生具体情况:浏览
http://yule.kugou.com/star/qzbs/09b97d2e7ef06e30_3.html
复制代码
刚开始发现机器速度极慢,打开任务管理器,TW居然占用600M+虚拟内存。
后关闭【使用黑名单过滤页面内的特定元素】,依然狂占虚存。
复单独拷贝TW至新文件夹,打开上述页面还是狂占虚存。
又发现上方有提示,要安装插件?!点了试试,Windows安全措施不让安装?!于是用【页面元素查看器】嗅探*.exe*,得地址如下:
http://w1.fsdfe.com/01/l1.exe
复制代码
提交到
https://www.virustotal.com
,结果如下:
文件 l1.exe **于 2009.03.14 03:58:22 (CET)
结果: 33/39 (84.62%)
复制代码
提交到
http://www.virscan.org
,结果如下:
文件信息
文件名称 : l1.exe
文件大小 : 54896 byte
文件类型 : PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5 : 79c2451efe2fd471306a7f04d04b5d87
SHA1 : 3a4a2b2d31abf11015739424670c61a0a52992c5
扫描结果
扫描结果 : 78%的杀软(29/37)报告发现病毒
复制代码
期间还发现只要在host里屏蔽掉
s.gdgr3e.cn
复制代码
就不会占虚存。
但是奇怪的是,用IE7打开(即便未屏蔽那个网站)很流畅,且没有什么提示,也没有中毒。
作者:
412268499
时间:
2009-3-14 11:55
你应该去酷狗的论坛问 或者用IE开看看是不是也是这种情况
作者:
ufo
时间:
2009-3-14 11:57
[attach]63027[/attach]
代码我看着头晕。有没有人帮忙分析下?
究竟是在哪引入
s.gdgr3e.cn
复制代码
的?又是在哪引入
http://w1.fsdfe.com/01/l1.exe
复制代码
的?
作者:
ufo
时间:
2009-3-14 12:00
我在主贴最后已经说明IE7打开并无问题,且没有中毒。这也是我最奇怪的地方。。。
作者:
412268499
时间:
2009-3-14 12:01
时间 模块 对象 名称 病毒 操作 用户名称 信息
2009-3-14 12:01:12 IMON 文件 Win32/AutoRun.ADC 蠕虫的变种
楼主把上面能下载的链接改掉吧,以免其他人点到
作者:
wxp0923
时间:
2009-3-14 12:29
我靠,是病毒啊
作者:
ufo
时间:
2009-3-14 12:54
除了上传的网页源文件,还有两个在线多引擎杀毒,没有链接~~你让我去哪个啊?我都是代码方式,不是url方式
作者:
Aycox
时间:
2009-3-14 16:03
可以去酷狗的客服区看看,就楼主发帖那时段尽是报毒的。
这个应该是挂马了,楼主的附件没啥用处,要保存就选保存全部,楼主host屏蔽的网址应该就是初始来源,至于具体如何引入的,这有待安全高人去分析了,你可以到相关论坛去试下。
我刚实机去看了哈无问题,现在应该已经修复。至于IE抗毒性的命题不回答也罢
作者:
ufo
时间:
2009-3-14 16:40
去看来。据说是手机铃声页面挂马。。用酷狗客户端,也会有手机铃声广告。所以客户端广告都可导致中毒。。
至于为啥用IE不中,实在神奇。。我还裸奔D。。没装杀软。
现在去那网页,已经不卡不耗虚存了。。
欢迎光临 世界之窗论坛 (http://bbs.theworld.cn./)
Powered by Discuz! 7.2