»
游客:
注册
|
登录
|
帮助
微点交流论坛
»
预升级反馈专区
» 关于恶意脚本的执行与阻止
作者:
标题: 关于恶意脚本的执行与阻止
66653202
注册用户
积分 126
发帖 126
注册 2006-10-26
来自 武汉
#1
关于恶意脚本的执行与阻止
我单运行微点时,访问某些网站,导致内存占用达到1G,系统处于无反应状态。
然后安装“卖咖啡”,然后访问该网站,提示有病毒。
可惜偶菜鸟一个,不知道如何从“卖咖啡”中提取病毒样本。现发一个卖咖啡的日志文件一个。
供管理员分析。
2008-1-9 19:03:44 引擎版本 = 5200.2160
2008-1-9 19:03:44 防病毒 DAT 版本 = 5147.0000
2008-1-9 19:03:44 EXTRA.DAT 中的检测项特征码数 = 无
2008-1-9 19:03:44 EXTRA.DAT 中的检测项特征码名称 = 无
2008-1-9 19:05:28 已删除 COMPUTER\Administrator C:\Program Files\Internet Explorer\iexplore.exe C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\STMNWLUJ\bf[1].htm JS/Exploit-BO.gen (特洛伊)
2008-1-9 19:05:28 已删除 COMPUTER\Administrator C:\Program Files\Internet Explorer\iexplore.exe C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\ECPB73J0\bf[1].htm JS/Exploit-BO.gen (特洛伊)
2008-1-9 19:05:29 脚本执行被阻挡 ??? Administrator iexplore.exe(
http://www.XXXX/ff/real.htm)
由 iexplore.exe 执行的脚本 JS/Exploit-BO.gen (特洛伊)
2008-1-9 19:05:31 脚本执行被阻挡 ??? Administrator iexplore.exe(
http://www.XXXXX/ff/06014.htm)
由 iexplore.exe 执行的脚本 JS/Exploit-BO.gen (特洛伊)
2008-1-9 19:06:12 脚本执行被阻挡 ??? Administrator iexplore.exe(
http://www.XXXX/ff/06014.htm)
由 iexplore.exe 执行的脚本 JS/Exploit-BO.gen (特洛伊)
2008-1-9 19:06:15 已删除 COMPUTER\Administrator C:\Program Files\Internet Explorer\iexplore.exe C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\STMNWLUJ\bf[1].htm JS/Exploit-BO.gen (特洛伊)
2008-1-9 19:06:15 脚本执行被阻挡 ??? Administrator iexplore.exe(
http://www.XXXXX/ff/pps.htm)
由 iexplore.exe 执行的脚本 JS/Exploit-BO.gen (特洛伊)
2008-1-9 19:06:34 已删除 COMPUTER\Administrator C:\Program Files\Internet Explorer\iexplore.exe C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\888GUD60\bf[1].htm JS/Exploit-BO.gen (特洛伊)
2008-1-9 19:06:34 脚本执行被阻挡 ??? Administrator iexplore.exe(
http://www.XXXXX/ff/06014.htm)
由 iexplore.exe 执行的脚本 JS/Exploit-BO.gen (特洛伊)
2008-1-9 19:06:35 脚本执行被阻挡 ??? Administrator iexplore.exe(
http://www.XXXX/ff/bf.htm)
由 iexplore.exe 执行的脚本 JS/Exploit-BO.gen (特洛伊)
2008-1-9 19:07:19 已删除 COMPUTER\Administrator C:\Program Files\Internet Explorer\iexplore.exe C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q9KZM1A5\bf[1].htm JS/Exploit-BO.gen (特洛伊)
2008-1-9 19:07:20 脚本执行被阻挡 ??? Administrator iexplore.exe(
http://www.XXXXXX/ff/06014.htm)
由 iexplore.exe 执行的脚本 JS/Exploit-BO.gen (特洛伊)
2008-1-9 19:07:20 脚本执行被阻挡 ??? Administrator iexplore.exe(
http://www.XXXXXX/ff/06014.htm)
由 iexplore.exe 执行的脚本 JS/Exploit-BO.gen (特洛伊)
2008-1-9 19:07:50 已删除 COMPUTER\Administrator C:\Program Files\Internet Explorer\iexplore.exe C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\6T7IAY29\bf[1].htm JS/Exploit-BO.gen (特洛伊)
2008-1-9 19:07:52 脚本执行被阻挡 ??? Administrator iexplore.exe(
http://www.XXXXXX/ff/06014.htm)
由 iexplore.exe 执行的脚本 JS/Exploit-BO.gen (特洛伊)
2008-1-9 19:07:53 脚本执行被阻挡 ??? Administrator iexplore.exe(
http://www.XXXXXX/ff/pps.htm)
由 iexplore.exe 执行的脚本 JS/Exploit-BO.gen (特洛伊)
[
Last edited by Legend on 2008-1-9 at 21:18
]
※ ※ ※ 本文纯属【66653202】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-1-9 20:51
Legend
超级版主
超级版主
积分 77171
发帖 70170
注册 2005-10-29
#2
请问你是使用什么浏览器?
请把该网站连接和本贴连接一起发到
virus@micropoint.com.cn
我们会进行测试。
※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※
微点官方认证新浪微博:欢迎进入
微点新浪微博
微点技术支持邮箱:
support@micropoint.com.cn
给Legend发短消息
2008-1-9 20:55
david1126103
版主
积分 723
发帖 721
注册 2006-9-17
来自 美国
#3
估计是利用REALPLAY的漏洞
注意给REAL升级下
※ ※ ※ 本文纯属【david1126103】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-1-9 21:01
66653202
注册用户
积分 126
发帖 126
注册 2006-10-26
来自 武汉
#4
已经发送到邮箱,病毒样本已经提取出来,并发送到mailto:virus@micropoint.com.cn
※ ※ ※ 本文纯属【66653202】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-1-9 21:09
Legend
超级版主
超级版主
积分 77171
发帖 70170
注册 2005-10-29
#5
谢谢你提供的信息。
※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※
微点官方认证新浪微博:欢迎进入
微点新浪微博
微点技术支持邮箱:
support@micropoint.com.cn
给Legend发短消息
2008-1-9 21:11
aidi
中级用户
新手上路
积分 256
发帖 221
注册 2006-3-6
#6
糙糙看了下,都是ie生成的脚本文件,看来你访问的网址有问题可能被别人挂了马;
不过这些东西占用内存确实很烦人,希望以后能够有个两全其美的解决办法。
※ ※ ※ 本文纯属【aidi】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-1-9 21:12
66653202
注册用户
积分 126
发帖 126
注册 2006-10-26
来自 武汉
#7
Quote:
Originally posted by
aidi
at 2008-1-9 21:12:
糙糙看了下,都是ie生成的脚本文件,看来你访问的网址有问题可能被别人挂了马;
不过这些东西占用内存确实很烦人,希望以后能够有个两全其美的解决办法。
呵呵,是个成人网站。有时候很正常。
首页没有问题,但是点击链接的时候就会导致机器假死。
装了“卖咖啡”就提示有如上病毒。
※ ※ ※ 本文纯属【66653202】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-1-9 21:40
Legend
超级版主
超级版主
积分 77171
发帖 70170
注册 2005-10-29
#8
楼主您发送的邮件我们没有收到,请您重新发送一下,您发送完后,请通过论坛短消息将您的邮箱地址发给我,也请附带此贴链接
※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※
微点官方认证新浪微博:欢迎进入
微点新浪微博
微点技术支持邮箱:
support@micropoint.com.cn
给Legend发短消息
2008-1-17 11:36
66653202
注册用户
积分 126
发帖 126
注册 2006-10-26
来自 武汉
#9
现在我测试这个网站的时候一切正常……
而且我已经重装了系统。
病毒文件已经被我格式化了。
※ ※ ※ 本文纯属【66653202】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-1-17 20:05
Legend
超级版主
超级版主
积分 77171
发帖 70170
注册 2005-10-29
#10
十分感谢楼主的测试和反馈,以后遇到这种情况时,希望您能协助我们保持现场并及时联系我们,谢谢。
※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※
微点官方认证新浪微博:欢迎进入
微点新浪微博
微点技术支持邮箱:
support@micropoint.com.cn
给Legend发短消息
2008-1-18 14:10
论坛跳转:
微点软件公测区
安全快报
> 病毒快报
> 漏洞快报
微点产品在线技术支持
> 微点主动防御软件
> 预升级反馈专区
> 微点杀毒软件
微点用户交流区
> 微点新闻
> 微点软件使用交流
> 微点茶室
安全技术交流区
> 主动防御
> 反病毒
> 防火墙
综合区
> 电脑&数码
> 体育&娱乐&休闲
> 灌水区
版务管理
内部使用专区
可打印版本
|
推荐
|
订阅
|
收藏
[
联系我们
-
东方微点
]
北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司
闽ICP备05030815号
