一个被加了密的downlist?召唤Hunters

显示全部楼层 · 发表于 2008-6-16 10:30:22

显示全部楼层 · 发表于 2008-6-16 11:24:59

这个不是downlist

显示全部楼层 · 发表于 2008-6-16 12:33:18

字母是不是考虑把downlist分析专家的名号改改了

显示全部楼层 · 发表于 2008-6-16 12:46:12

可能只有下载者自已读得懂这东西

显示全部楼层 · 发表于 2008-6-16 12:53:37

eqyu7*"rzr#a{akjjc`#fbh"fefbp#myh

显示全部楼层 · 发表于 2008-6-16 15:11:37

要原始样本，才能知道这是如何加密的撒

显示全部楼层 · 发表于 2008-6-16 18:14:09

e    ,q    ,y    ,u
101,113,121,117
h    ,t    ,t    ,p
104,116,116,112
所以xor key是:
13  ,5    ,13  ,5
解密结果为:
http://www.dvdforone.com/chcou.htm

显示全部楼层 · 发表于 2008-6-16 18:15:14

估计是一个clicker刷站点的，下为
http://www.dvdforone.com/selectads.js
的代码，有兴趣的继续..
var how_many_ads =8;
var now = new Date();
var sec = now.getSeconds();
var ad = sec % how_many_ads;
ad +=1;
document.writeln("<html>");
document.writeln("<head>");
if (ad==1) {
document.writeln("<meta http-equiv=refresh content='0; url=http://www.cd321.com'>");
}
if (ad==2) {
document.writeln("<meta http-equiv=refresh content='0; url=http://www.cd321a.net/ad.htm'>");
}
if (ad==3) {
document.writeln("<meta http-equiv=refresh content='0; url=http://www.dvdforone.com'>");
}
if (ad==4) {
document.writeln("<meta http-equiv=refresh content='0; url=http://www.onefordvd.com'>");
}
if (ad==5) {
document.writeln("<meta http-equiv=refresh content='0; url=http://www.cd321.net/ads.htm'>");
}
if (ad==6) {
document.writeln("<meta http-equiv=refresh content='0; url=http://www.cd321.com/ad.htm'>");
}
if (ad==7) {
document.writeln("<meta http-equiv=refresh content='0; url=http://www.677977.com'>");
}
if (ad==8) {
document.writeln("<meta http-equiv=refresh content='0; url=http://www.677977.com/index2.htm'>");
}
document.writeln("</head>");
document.writeln("</html>");

复制代码

显示全部楼层 · 发表于 2008-6-16 18:48:07

我不改

我相信自己

显示全部楼层 · 发表于 2008-6-16 18:59:56

复制代码

呃 xor的密钥解密的话把加密的字符第一位xor 13,第二位xor 5,第三位xor 13,第四位xor 5一直到最后就O了

[病毒样本] 一个被加了密的downlist?召唤Hunters