【轉貼】仿無名網址的釣魚網站

carloschen

http://vbb.twftp.org/showthread.php?t=9947

引用:

http://www.wretcn. cc

上面這個連結點了可能就有中木馬的可能，利用『H』跟『N』相近的字型來釣魚，
可以騙倒不察的一堆人。

散佈第一個可能位置：
http://groups.google.cg/group/tw.bbs...72517266c2228e

netcraft:
http://toolbar.netcraft.com/site_rep.../www.wretcn.cc

whois
Request: wretcn.cc
whois server for *.cc is whois.nic.cc ...
from whois.nic.cc:43 [cached Tue Oct 17 08:43:57 2006 UTC]
from whois.bizcn.com:43 [cached Tue Oct 17 08:44:02 2006 UTC]

Domain name: wretcn.cc

Registrant Contact:
rao li fan
li fan rao [email protected]
0753-3320000 fax: 0753-3320000
guangdongxingning
xingning guangdong 514500
cn

Administrative Contact:
li fan rao [email protected]
0753-3320000 fax: 0753-3320000
guangdongxingning
xingning guangdong 514500
cn

Technical Contact:
li fan rao [email protected]
0753-3320000 fax: 0753-3320000
guangdongxingning
xingning guangdong 514500
cn

Billing Contact:
li fan rao [email protected]
0753-3320000 fax: 0753-3320000
guangdongxingning
xingning guangdong 514500
cn

DNS:
ns1.4everdns.com
ns2.4everdns.com

Created: 2006-09-12
Expires: 2007-09-12

對岸同胞使用windows架設的網站,域名九月份剛入手,
似乎打算拿來做壞事...

darksnow

上面那個假無名網站有毒，好奇的人別亂開喔！

wretcn.exe和gamanai.exe我傍晚已經送去給kaspersky了，
晚上8點多以後更新的病毒碼可以偵測到病毒了。

還有這還有用到realplayer的smil漏洞，
用realplayer的從年初到現在都沒更新的話可能會中標！
Real Alternative 1.47後的可能沒事，之前版本的可能會中標！

DarkSkyline

我使用的"AntiVir PersonalEdition Premium"發現 "HEUR/Crypted"病毒,立刻刪除檔案,Internet Explorer 馬上關閉,無法開啟網頁,果然是有問題的網頁~

baba_yu · 11:04 AM

確實是大陸壞蛋幹的 XXXXX.w177.west263.cn/wretcn.exe

Check system areas...
Check selected directories and files...
Object: gamanai.exe
Virus: Trojan-PSW.Win32.Magania.gh (KAV engine)
Object: wretcn[1].exe
Virus: Trojan-Downloader.Win32.Cryptic.b (KAV engine), GenPack:Generic.Malware.Sdld!.DCD34030 (BD-Engine)
Analysis complete: 2006/10/18 上午 11:02
2 files checked
2 infected files detected
0 suspected files detected

sungkee

引用:

作者: darksnow

上面那個假無名網站有毒，好奇的人別亂開喔！

wretcn.exe和gamanai.exe我傍晚已經送去給kaspersky了，
晚上8點多以後更新的病毒碼可以偵測到病毒了。

還有這還有用到realplayer的smil漏洞，
用realplayer的從年初到現在都沒更新的話可能會中標！
Real Alternative 1.47後的可能沒事，之前版本的可能會中標！

我已經打開了@@"

不過我是用firefox2.0打開的

不知道會不會受到影響?!nod32沒有報警...

ie也一切正常@@

esjustin

引用:

作者: sungkee

我已經打開了@@"

不過我是用firefox2.0打開的

不知道會不會受到影響?!nod32沒有報警...

ie也一切正常@@

FireFox 1.5打開沒事!?

haol · 07:01 PM

引用:

作者: darksnow

上面那個假無名網站有毒，好奇的人別亂開喔！
還有這還有用到realplayer的smil漏洞，
用realplayer的從年初到現在都沒更新的話可能會中標！
Real Alternative 1.47後的可能沒事，之前版本的可能會中標！

用IE探險一下，果然漏洞百出= =
還抓到幾支新鮮貨

esjustin

只有IE會遭到感染...

esjustin

Mcafee在網頁還沒完全顯示前即攔截!!

DarkSkyline 地平線的那端	回覆: 【轉貼】仿無名網址的釣魚網站我使用的"AntiVir PersonalEdition Premium"發現 "HEUR/Crypted"病毒,立刻刪除檔案,Internet Explorer 馬上關閉,無法開啟網頁,果然是有問題的網頁~
	回覆

esjustin 長期威脅研究經驗	回覆: 【轉貼】仿無名網址的釣魚網站只有IE會遭到感染...
	回覆