帖子“我用快车下载东西的时候红伞会报毒(http://bbs.kafan.cn/viewthread.php?tid=274844)”中有用户反映红伞报flashget生成的shua.js
然后帖子“一个卡巴不报红伞报的文件(http://bbs.kafan.cn/viewthread.php?tid=274998)”中上传了该样本。
分析了下这个shua.js,与大家一起看看。
首先要说的是:shua.js对用户的使用是不会产生不良后果的。
看看shua.js的源代码:
- eval(function(p,a,c,k,e,r){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)r[e(c)]=k[c]||e(c);k=[function(e){return r[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('5 4=6.e(6.g()*m);5 7={0:"n",1:"%o%p%r%s%t%u%v%w"};5 8=6.e(6.g()*1);5 x=\'\';h(4==y){i.j("<2 9=\'a://k.l.z/l?A=3&B="+7[8]+"\' b=\'c:d;\'></2><2 9=\'a://C.D.E.F/G.H\' b=\'c:d;\'></2>")}h(4==I||4==J||4==K){i.j("<2 9=\'a://k.L.M/N?O=P-Q&q="+7[8]+"&R=&S=f\' b=\'c:d;\'></2>")}',55,55,'||iframe||rand_bd|var|Math|word_bd|rand_word|src|http|style|display|none|round||random|if|document|write|www|baidu|500|flashget|CD|F8||BC|CA|BF|EC|B3|B5|location|80|com|cl|wd|218|95|38|150|shua|php|180|280|380|google|cn|search|hl|zh|CN|meta|aq'.split('|'),0,{}))
经常解密网页挂马的Hunter想必对此类函数加密肯定熟悉,因为shua.js使用的函数加密是网页挂马中最常见的网页函数加密方法之一。
解密后源代码如下:
- var rand_bd=Math.round(Math.random()*500);
- var word_bd={0:"flashget",1:"网际快车"};
- var rand_word=Math.round(Math.random()*1);
- var location='';
- if(rand_bd==80)
- {
- document.write("<iframe src='http://www.baidu.com/baidu?cl=3&wd="+word_bd[rand_word]+"' style='display:none;'></iframe><iframe src='http://218.95.38.150/shua.php' style='display:none;'></iframe>")}
- if(rand_bd==180||rand_bd==280||rand_bd==380)
- {
- document.write("<iframe src='http://www.google.cn/search?hl=zh-CN&q="+word_bd[rand_word]+"&meta=&aq=f' style='display:none;'></iframe>")}
现在,shua.js的作用已经很明显了:
先产生随机数rand_bd,当这个随机数等于80时,就写入iframe,以关键字“flashget”或“网际快车”(加一个随机数字)在后台百度;当这个随机数等于180或280或380时,便产生iframe,在后台google关键字“flashget”或“网际快车”(加一个随机数字)。
也就是说,网际快车在后台生成加密的shua.js,然后在用户使用网际快车时,不断的在后台刷“Flashget”或“网际快车”在搜索引擎的搜索量,以产生“该关键字很热门”的假象。 |
发表于 2008-6-24 12:30:55
发表于 2008-6-24 13:05:31
