kav提示Trojan-Downloader.JS.Agent.nx的js木马程序
不知道别人有没有提示？？

以下是js的内容,是否是误报呢？？
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
document.write ('<a href="http://www.51.la/?1011857" target="_blank"><img alt="51.la 专业、免费、强健的访问统计" src="http://icon.ajiang.net/icon_9.gif" style="border:none" /></a>\n');
window.onerror=function(){return true};
document.write ('<script>var a1011857tf="51la";var a1011857pu="";var a1011857pf="51la";var a1011857su=window.location;var a1011857sf=document.referrer;var a1011857of="";var a1011857op="";var a1011857ops=1;var a1011857ot=1;var a1011857d=new Date();var a1011857color="";if (navigator.appName=="Netscape"){a1011857color=screen.pixelDepth;} else {a1011857color=screen.colorDepth;}<\/script><script>a1011857tf=top.document.referrer;<\/script><script>a1011857pu =window.parent.location;<\/script><script>a1011857pf=window.parent.document.referrer;<\/script><script>a1011857ops=document.cookie.match(new RegExp("(^| )AJSTAT_ok_pages=([^;]*)(;|$)"));a1011857ops=(a1011857ops==null)?1: (parseInt(unescape((a1011857ops)[2]))+1);var a1011857oe =new Date();a1011857oe.setTime(a1011857oe.getTime()+60*60*1000);document.cookie="AJSTAT_ok_pages="+a1011857ops+ ";path=/;expires="+a1011857oe.toGMTString();a1011857ot=document.cookie.match(new RegExp("(^| )AJSTAT_ok_times=([^;]*)(;|$)"));if(a1011857ot==null){a1011857ot=1;}else{a1011857ot=parseInt(unescape((a1011857ot)[2])); a1011857ot=(a1011857ops==1)?(a1011857ot+1)a1011857ot);}a1011857oe.setTime(a1011857oe.getTime()+365*24*60*60*1000);document.cookie="AJSTAT_ok_times="+a1011857ot+";path=/;expires="+a1011857oe.toGMTString();<\/script><script>a1011857of=a1011857sf;if(a1011857pf!=="51la"){a1011857of=a1011857pf;}if(a1011857tf!=="51la"){a1011857of=a1011857tf;}a1011857op=a1011857pu;try{lainframe}catch(e){a1011857op=a1011857su;}document.write(\'<img style="width:0px;height:0px" src="http://17.db.51.la/s.asp?id=1011857&tpages=\'+a1011857ops+\'&ttimes=\'+a1011857ot+\'&tzone=\'+(0-a1011857d.getTimezoneOffset()/60)+\'&tcolor=\'+a1011857color+\'&sSize=\'+screen.width+\',\'+screen.height+\'&referrer=\'+escape(a1011857of)+\'&vpage=\'+escape(a1011857op)+\'" \/>\');<\/script>');
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

[ 本帖最后由 shark 于 2007-9-7 18:32 编辑 ]

51.la 专业、免费、强健的访问统计

51拉是我们网站的统计，现在这个情况有人反应，已经吧51拉给去掉了……

郁闷，51拉这么大的网站也会出这样的情况，我会在做调查，不行就更换统计，谢谢你……

救命啊！！！今天我就是想下载潘玮柏的反转地球，结果结果。。。。。。。
我的机子是裸奔的。。。。。。。。。
现在补救中，目前卡巴发现180个木马。。。。。。。。。。。
我的妈。。。。。。。。。。
管理员啊~~~杂碎肯定让人给挂马了~~~·

在9月7号，的确会出现木马报告，但是，51拉的阿江已经将这个事实澄清了，以下是原文：


-------------------------------------------------------------------------------------------------------------------

以下是我给卡巴的电子邮件。


QUOTE:
我们注意到并不是所有的JS都被误报病毒，而只是一部分，
因为注意到被误报的JS都是7位以上的统计ID的JS，
而JS内部的变量名包含该ID号，因此首先怀疑是变量名中包含长数字导致的，
于是将被误报病毒的JS代码中的类似 a1114249of= 这样的变量名改为 a4249of= 问题即解决。
我们将ID号写在变量名中，是为了防止当用户在同一个网页中使用多个统计ID的JS代码的时候出现JS变量冲突，让变量名包含ID号就不会出现这种问题。
“JS变量名中包含7位数字”——把这个作为病毒的特征实在是让人啼笑皆非，希望贵公司对病毒特征做出更细致更科学的标记。

作为国内最大的免费统计服务网站，我们拥有12万活跃用户，误报事件导致大量用户的网站因为这个统计代码也被报毒，致使大量用户撤下统计代码转向使用其他免费统计，对我们打击非常大。

我正在重新生成JS，新的JS中不包含长达7位的数字ID，而只是取最后4位，已试验卡巴不报毒，生好之后就能用了，这只需要几十分钟。


问题已解决，详情见
http://www.im286.com/thread-2143751-1-1.html



还有这个

--------------------------------------------------------------------------------------------------

卡巴误报问题已排除，希望刚才看到飘GG广告的进来看


刚开始有用户反映这个问题的时候，我看了一下代码是没有毒的，以为又是用户自身问题，没有处理。
晚饭后反馈者越来越多，于是相信是卡巴的确报毒了，但所有JS服务器都经过再次认真检查后确认没有被入侵，没有被修改挂马，代码确认无毒，于是确认卡巴误报。
然后立即在网站上发公告，并开始联系卡巴。
卡巴处理似乎有点慢，我们无法等到卡巴把误报的原因找出来，于是自己尝试寻找问题原因，最后发现是当js代码中的变量名中包含连续7位数字时就会报毒（找到这个原因时感觉很荒唐）。
这时候当然不能等卡巴更新，简单的办法就是把JS中的变量名中的7位数字（即7位数字ID的用户的JS）改为较短的数字。
这需要生成所有用户调用的JS文件。
因为JS服务器处在有负荷的状态下时生成JS很慢，我将 js.users.51.la 的解析删除了，这样JS服务器压力去除，JS生成很快。
但就在这个过程中发现，当 js.users.51.la 的DNS记录删除的时候，四川电信和湖南电信会将这个域名解析到一个放着GG广告的网站上，于是在我重新生成JS的这个过程中，部分用户访问带有我要啦统计代码的网站的时候就会看到GG广告，而实际上在那个时候 js.users.51.la 根本没解析，是根本不可能读取到任何内容的，在此BS一下四川电信和湖南电信。
现在所有JS已重新生成，js.users.51.la 已解析回来，一切恢复正常。

－－－－－－－－－－－－－
从回贴中看，刚才应该江苏电信也把 js.users.51.la 解析到我不知道的地方了，至少踏雪寻妹看到了，
很显然我怎么可能在这样的时候把 JS 代码解析到GG广告上呢（除非我是SB），而且我根本不做GG。

已有网友证实某些地区访问NS错误的JS文件时的确会出现问题，非常感谢，原贴
http://www.im286.com/thread-2143760-1-1.html


QUOTE:
原帖由 clubuser 于 2007-9-7 22:43 发表
肯定是他们两个垃圾
其实是不是51la，大家随便看下这个地址就知道了
http://wewaefa.com/ada.js
随手在地址栏打的
这种NS无法解析的，看下js文件的内容就知道了

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
当你使用NSLOOKUP查看 js.users.51.la 得到类似下面的结果的时候，漂浮问题应该不再存在
C:\>nslookup js.users.51.la
Server:  ns2.myzone.cn
Address:  222.88.88.88

Non-authoritative answer:
Name:    51js.th-club.com
Addresses:  122.224.146.90, 122.224.146.14, 122.224.146.36, 122.224.146.43
          122.224.146.38
Aliases:  js.users.51.la



事实证明没有木马的，我们的论坛空间由discuz官方管理，相对安全，请放心，有问题，我们会第一时间出来解决：）