Board logo

标题: [问题求助] 酷狗**被挂马了吗? [打印本页]

作者: ufo    时间: 2009-3-14 11:34     标题: 酷狗**被挂马了吗?

系统环境:SP3 TW2.4.0.7 IE7 360打完所有补丁。用的广告过滤交流里的基础黑名单。
问题发生具体情况:浏览
  1. http://yule.kugou.com/star/qzbs/09b97d2e7ef06e30_3.html
复制代码

刚开始发现机器速度极慢,打开任务管理器,TW居然占用600M+虚拟内存。
后关闭【使用黑名单过滤页面内的特定元素】,依然狂占虚存。
复单独拷贝TW至新文件夹,打开上述页面还是狂占虚存。
又发现上方有提示,要安装插件?!点了试试,Windows安全措施不让安装?!于是用【页面元素查看器】嗅探*.exe*,得地址如下:
  1. http://w1.fsdfe.com/01/l1.exe
复制代码

提交到https://www.virustotal.com,结果如下:
  1. 文件 l1.exe **于 2009.03.14 03:58:22 (CET)
  2. 结果: 33/39 (84.62%)
复制代码

提交到http://www.virscan.org,结果如下:
  1. 文件信息
  2. 文件名称 :   l1.exe
  3. 文件大小 :   54896 byte
  4. 文件类型 :   PE32 executable for MS Windows (GUI) Intel 80386 32-bit
  5. MD5 :   79c2451efe2fd471306a7f04d04b5d87
  6. SHA1 :   3a4a2b2d31abf11015739424670c61a0a52992c5
  7. 扫描结果
  8. 扫描结果 :   78%的杀软(29/37)报告发现病毒
复制代码

期间还发现只要在host里屏蔽掉
  1. s.gdgr3e.cn
复制代码

就不会占虚存。
但是奇怪的是,用IE7打开(即便未屏蔽那个网站)很流畅,且没有什么提示,也没有中毒。
作者: 412268499    时间: 2009-3-14 11:55

你应该去酷狗的论坛问 或者用IE开看看是不是也是这种情况
作者: ufo    时间: 2009-3-14 11:57

[attach]63027[/attach]
代码我看着头晕。有没有人帮忙分析下?
究竟是在哪引入
  1. s.gdgr3e.cn
复制代码
的?又是在哪引入
  1. http://w1.fsdfe.com/01/l1.exe
复制代码
的?
作者: ufo    时间: 2009-3-14 12:00

我在主贴最后已经说明IE7打开并无问题,且没有中毒。这也是我最奇怪的地方。。。
作者: 412268499    时间: 2009-3-14 12:01

时间        模块        对象        名称        病毒        操作        用户名称        信息
2009-3-14 12:01:12        IMON        文件               Win32/AutoRun.ADC 蠕虫的变种

楼主把上面能下载的链接改掉吧,以免其他人点到
作者: wxp0923    时间: 2009-3-14 12:29

我靠,是病毒啊
作者: ufo    时间: 2009-3-14 12:54

除了上传的网页源文件,还有两个在线多引擎杀毒,没有链接~~你让我去哪个啊?我都是代码方式,不是url方式
作者: Aycox    时间: 2009-3-14 16:03

可以去酷狗的客服区看看,就楼主发帖那时段尽是报毒的。
这个应该是挂马了,楼主的附件没啥用处,要保存就选保存全部,楼主host屏蔽的网址应该就是初始来源,至于具体如何引入的,这有待安全高人去分析了,你可以到相关论坛去试下。
我刚实机去看了哈无问题,现在应该已经修复。至于IE抗毒性的命题不回答也罢
作者: ufo    时间: 2009-3-14 16:40

去看来。据说是手机铃声页面挂马。。用酷狗客户端,也会有手机铃声广告。所以客户端广告都可导致中毒。。
至于为啥用IE不中,实在神奇。。我还裸奔D。。没装杀软。

现在去那网页,已经不卡不耗虚存了。。




欢迎光临 世界之窗论坛 (http://bbs.theworld.cn./) Powered by Discuz! 7.2