標題: [分享] 一張養眼圖片背後的毒窟!
本帖已經被作者加入個人空間
P11555 (百分比(南港棧))
超級版主
Rank: 11Rank: 11Rank: 11Rank: 11


UID 5
精華 0
積分 1784
帖子 384
威望 8
P幣 861 $
經驗 531 點
閱讀權限 200
註冊 2000-1-1
來自 中華民國
狀態 離線
發表於 2008-4-18 13:25  資料  個人空間  主頁 短消息  加為好友 
一張養眼圖片背後的毒窟!



QUOTE:

趨勢科技毒賣新聞
趨勢科技病毒分析師Loucif Kharouni:
在查看一整天收到的垃圾郵件時,有一封要我點一下圖片觀看更多色情圖片的電子郵件令我十分好奇

點一下這張圖片之後,便會下載 hxxp://rusdiam.com/1.exe,事實上這是目前已被定義為 TROJ_AGENT.HRC 的惡意檔案。
取得這個檔案之後,我又對這個網站的首頁上有哪些內容感到很好奇。
於是我就在瀏覽器中輸入 hxxp://rusdiam.com,我的電腦隨即遭載入記憶體中的惡意程式所感染。但是這個網站目前已經無法連線。
我決定仔細查看首頁的原始碼,原始碼中包含 2 段指令碼,會將瀏覽者轉向 2 個不同的網址:

我便從這 2 個網址開始著手調查。
從 hxxp://buytraffic.cn/in.cgi?11 這個網址可以取得一個檔名為 count.php 的檔案,其中所含的指令碼會將瀏覽者轉向:
hxxp://193.109.163.179/exp/getexe.php?status=1&ip=81.249.55.218&os=6&browsers=1&country=FR&ref=buytraffic.cn
只要按下這個連結,便會下載一個隨機命名的 update04xxxx.exe 檔案,其中的 xxx 是隨機挑選的數字。這個連結還會取得一些其他的資訊用以提供統計數據。您可以看到,其中有我測試時使用的 IP 位址,此外它還會記錄我使用的瀏覽器,以及作業系統所使用的語言等。
根據之前的幾次經驗,我往往會嘗試對網址動一下手腳,看看會不會有新的發現。
這一次也不例外,我稍微變更了一下網址:
hxxp://193.109.163.179/exp/getexe.php?status=1&ip=81.249.55.218&os=6&browsers=1&country=FR&ref=buytraffic.cn
一開始我試著輸入:
hxxp://193.109.163.179/exp/getexe.php?
這一次我也被詢問是否要下載一個名為 update04xxxx.exe 的檔案。這項發現令我更好奇,更有興趣繼續追查下去。
第二次我輸入以下這個網址:
hxxp://193.109.163.179/exp/
或許您和我一樣驚訝,我竟然會進入這裡。所有元件所在的資料夾,像是惡意網頁、惡意檔案、統計數據網頁等,資料夾中充滿了各種指令檔。
當我嘗試尋找惡意檔案時,我也有一些意外的發現;我找到 1 個檔名為 file.exe 的檔案,每次當我嘗試下載 getexe.php 這個檔案時,它都會強制下載 "file.exe",只是每次的檔名都不相同。
除此之外,其中最有趣的就是 stats 連結。只要按下這個連結,便會顯示以下這個 Web 主控台:

此時我已進入 NoName Pack 的管理主控台。接下來只要設法登入即可。
隨便試了幾組登入名稱/密碼之後,我就順利登入了:

您可以看到使用的瀏覽器、作業系統以及所在國家等資訊,而轉介者 (referrer) 指的是瀏覽者從何處被轉向這裡。試過幾個網站之後,我取得了許多惡意程式,以下就是其中一個網站的檔案列表:

2.dllb [PAK_Generic.001]
b138.exe [TROJ_DLOADER.HBK]
BraveSentry\BraveSentry.exe [ADW_BRAVESENTR.N]
BraveSentry\BraveSentry0.dll [ADW_BRAVESENTR.N]
BraveSentry\BraveSentry2.dll [ADW_BRAVESENTR.N]
BraveSentry\BraveSentry3.dll [ADW_BRAVESENTR.N]
BraveSentry\Uninstall.exe [SPYW_BRAVSENT.A]
diperto70a0-3d69.sys [RTKT_NUWAR.UY]
dllgh8jkd1q2.exe [PAK_Generic.001]
JavaCore\JavaCore.exe [ADW_INSIDER]
maxpaynow.game [TROJ_TINY.FB]
maxpaynowti.exe [DIAL_RAS.JS]


您或許會注意到它會在瀏覽者的電腦上安裝一套名為 Brave Sentry 的流氓防毒產品。

奉勸大家不要太好奇ㄏㄏ!真的會暗藏玄機!

頂部
kans1258
新手上路
Rank: 1



UID 393
精華 0
積分 82
帖子 16
威望 0
P幣 48 $
經驗 18 點
閱讀權限 10
註冊 2008-5-5
狀態 離線
發表於 2008-5-10 23:43  資料  個人空間  主頁 短消息  加為好友  QQ


记得一位高人说...好帖子与垃圾帖传世私服的区别在于...好帖子越看越暖...而垃圾帖...越看越寒...我呢...一开始就和runescape普通人一样...不相信真有一种帖子可以让人学会忘记烦恼和所有不开心的事情...所以...我选择看垃圾帖...选择垃圾帖的人...一般都比较冷静...觉得冥冥中一直在等楼猪写这个帖子...我以为楼猪的帖子写出来...就应该是一部传世之作...到现在我才发现...什么事情都是google排名可以变的...惟独不变的是楼猪的精彩原创...就好像我一直以为自己文笔不错...忽然看到楼猪帖子...才发现我输了...因为在我读楼猪的帖子的时候...我忘记烦恼2moons和所有不开心的事情...整个人好象沐浴在4月杭州温暖的春风中...我决定以后只会看好帖子...那种让人越看越暖的好帖子...那种让人忘记烦恼和所有不开心dofus的事情的好帖子...换句话说 ...我以后只看楼猪的帖子...苍天之下,厚土之上,竟有如此奇人异士、文人墨客!讥讽于谈笑间,笑骂于无形中,层次之高,境界之深,非我等所能匹及,偶像啊!!!





頂部
hoho2008
新手上路
Rank: 1



UID 404
精華 0
積分 41
帖子 1
威望 0
P幣 35 $
經驗 5 點
閱讀權限 10
註冊 2008-6-11
狀態 離線
發表於 2008-6-24 12:12  資料  個人空間  主頁 短消息  加為好友  QQ
回复主题帖子

不错,还行
顶一个











-----------------------------------------------------------------------------------
代孕 代孕妈妈 试管婴儿 人工授精服务 专业代孕网

頂部
 



當前時區 GMT+8, 現在時間是 2024-11-26 01:28

    Skin By D-XITE.COM™  Powered by Discuz! 5.5.0  © 2007 Skin By D-XITE™
Processed in 0.030730 second(s), 6 queries

清除 Cookies - 聯繫我們 - PERCENT - Archiver - WAP