[解密悬赏][第11期][结束]

qianwenxiang

宗旨：
让更多人了解如何解密网马
规则：
1、Hunter不能参加活动
2、必须把所有木马地址全部解出，不完全解密且所发URL之前没有人解出者得到相应步骤加分
3、最好有解密软件日志，如果没有，请发出具体解密过程
4、当第一个人成功完全解密后，将根据难度给予其相应经验，所有URL全部解完之后本帖将锁定
5、如果有违反1~2条规则的情况，本帖随即锁定，之后成功解密的作废！
6、锁定后，会重新修改本次的解密地址，并且开帖！
7、为了体现悬赏帖宗旨，昨日解密成功者再次解出今天网址的只能得到对应网址70%经验



解密地址（替换HXXP为HTTP）：


hXXp://vc.zaqaab.cn/xx.htm (完成)
一次解完（包含解密步骤）=6分 (所有iframe均解出exe地址)

(共计1个步骤/完成 by dearhaoji @ 6L)

hxxp://sexyvideo69.ru/ (超时|公布)
一次解完（包含解密步骤）=15分
分步（即未解完情况）=每步3分
(共计4个步骤/已公布)
(解密到一半可能由于病毒服务器问题进行不下去鸟)

公布如下：
关于:hxxp://sexyvideo69.ru/解密的日志(全体输出-  5):

Level 0>http://sexyvideo69.ru/
Level 1>http://thedeadpit.com/?click=8392109
Level 2>http://thedeadpit.com/pdf.php?id=0
Level 1>http://directlinkq.cn/in.cgi?27
Level 2>http://directlink8.cn/wait/?t=15

日志由 Redoce1.6第28次修正版于 2009-1-9 18:24:58 生成。

由于资源暂时短缺...加上手工制作一YD的HTML,要求解出最后写入HTML的部分.
HTML如下: (完成 by 250662772 @ 4L)
a.rar (922 Bytes, 下载次数: 72)

2009-1-9 19:29 上传

点击文件名下载附件
一次解完（包含解密步骤）=15分


注意：这些地址含有恶意软件，可能会危害到您的计算机。请不要直接打开，否则因此造成的一切后果我们概不负责！
参考解密工具：
FreShow（英文）、 Redoce 1.5（中文）、malzilla （英文，但是乃神器也）
http://glacierlk.cn/openlab/jm.htm
参考解密教程：
http://bbs.kafan.cn/viewthread.php?tid=387608
http://bbs.kafan.cn/viewthread.php?tid=220550
http://www.jimmyleo.com/share/FreShow!.rar（推荐！不会用FreShow的可以看看）


(时限=1天)(至2008.01.10 19:00止)

qianwenxiang

PS. 就是1L的附件 解出包含的<SRC="">即可 不过最好有解释[:01:]

<script language=vbscript>

dim a,ak
a="ecxxiopgtvcxmirceeawwxwwevxl2222222222cdnioebtolanioet"
dim i
dim t
dim ab,ac
i=(Round(668923+Rnd*11698.4)+Fix(6688)) Eqv &HABCDEF
for i=(not -2) to (not -888) step (8 or 1)
if (len(t) xor &H7)=3 then exit for
t=t & mid(a,i,1)
next:ab=t
b="eabcelsgxxopemtsstexowi2scccccncc==uu++wiettttuxaiejsmeeettxernoixa[q""t""e"
i=(CSng(Rnd)+CDbl(3.141592653)) Imp &HFEDCBA
T=Right("Yes you are right!",3-(not (-4)))
for i=(not(-2) and 1) to (not(-888) and 888) - 1 step (8 or 1)
if (len(t) xor &H5)=&O2 then exit for
t=t & mid(b,i,(1 and 1))
next:ac=t
dim f
f=array("iframe","src","baidu",".js",".vbs","/","base 0","china","google","base 7","probably","test","kafan","base 111","kafan hunters","base 648","end","end script","array end","document|write(\'<script src=http://test.kafan.com/script.js\')><|script>","body|onload=alert(\'you got it\')","<script src=","<|script>")
dim s,p
s=f
s(6)="Run Script"
for i=1 to 66 step 1
if i<len(ac) then
   p=p & (chr((asc(mid(ac,i,1))or 8) and (11-3)))
end if
next
document.write(ac&" ("""&f(ubound(f)-1)&f(5)&(date)&f(3)&">"")"&vbcr&vblf&ab+"('var shellcode=\'4989190859089012012508080818254648940984055a48c4010a9aaeb008489890909095a465456A2C8294548484F56F9\';var x;for(x=1;x<shellcode.length;(x++)++){x=shellcode.length?4:7;writeshellcode}function writeshellcode{}')")

</script>

250662772

原帖由 qianwenxiang 于 2009-1-9 20:37 发表
PS. 就是1L的附件 解出包含的即可 不过最好有解释

不好意思老大，我是失误才打包进去的，你不说我还不知道，已经删除；

250662772

原帖由 qianwenxiang 于 2009-1-9 20:37 发表
PS. 就是1L的附件 解出包含的即可 不过最好有解释

是这个吗

execute ("<script src=/2009-1-9.js>")
eval('var shellcode=\'4989190859089012012508080818254648940984055a48c4010a9aaeb008489890909095a465456A2C8294548484F56F9\';var x;for(x=1;x<shellcode.length;(x++)++){x=shellcode.length?4:7;writeshellcode}function writeshellcode{}')

Sherry.ai

先来学学

dearhaoji

第一个htxp://jbl.trcwoman.info/ie.exe

qianwenxiang

document.write果然还是软肋 开始准备在循环里面用document.write的 不过居然出错了 后来拖出来了 形式一片明朗 嘎嘎~

qianwenxiang

~

去除无用代码后的 ~

<script language=vbscript>

dim ak,i,t,ac,s,p,f
b="eabcelsgxxopemtsstexowi2scccccncc==uu++wiettttuxaiejsmeeettxernoixa[q""t""e"
f=array("","","",".js","","/","","","","","","","","","","","","","","","","<script src=","")
s=f

for i=1 to 886 step 8
if len(t)=7 then exit for
t=t & mid(b,i,1)
next
ac=t 'ac="execute"

document.write(ac&" ("""&f(ubound(f)-1)&f(5)&(date)&f(3)&">"")")

</script>

关于:hxxp://vc.zaqaab.cn/xx.htm解密的日志(全体输出-  2):
Level 0>hxxp://vc.zaqaab.cn/xx.htm
Level 1>http://jbl.trcwoman.info/ie.exe  ●
日志由 Redoce1.6第28次修正版于 2009-1-9 19:26:42 生成。

dearhaoji

晕~~~~~~只拿70%。。。。。。。第2个 http://thedeadpit.com/?click=8392109   应该是木马
可惜进不了。。。

qianwenxiang

7、为了体现悬赏帖宗旨，昨日解密成功者再次解出今天网址的只能得到对应网址70%经验

呵呵 帖子里面有写哦