zgcy.net

显示全部楼层 · 发表于 2009-6-10 21:57:03

关于:hxxp://www.zgcy.net/86391/reg.asp解密的日志(全体输出 -  7):
Level  0>http://www.zgcy.net/86391/reg.asp
Level  1>http://%6d%62%72%38%2e%63%6e
Level  2>http://mbr8.cn/url.asp (Connection:Close)
Level  1>http://3b3.org/c.js
Level  1>http://e6t.3322.org/c.js (DNS Failed)
Level  1>http://3bom%62.com/c.js
Level  1>http://www.nmidahena.com/1.js (404 Not Found)
日志由 Redoce1.9第68次修正版于 2009-6-10 21:51:23 生成。

同http://bbs.kafan.cn/thread-498314-1-1.html

显示全部楼层 · 发表于 2009-6-10 23:15:05

Log is generated by FreShow.
[wide]http://www.zgcy.net/86391/reg.asp
[script]http://3bom%62.com/c.js
      [script]http://3bom%62.com/\"http:\/\/js.tongji.linezing.com\/1136402\/tongji.js\"
[script]http://e6t.3322.org/c.js
      [script]http://e6t.3322.org/\"http:\/\/js.tongji.linezing.com\/1136402\/tongji.js\"
[script]http://3b3.org/c.js
[script]http://www.nmidahena.com/1.js
[script]http://3bom%62.com/c.js
[script]http://e6t.3322.org/c.js
[script]http://3b3.org/c.js
[script]http://3b3.org/c.js
[script]http://www.nmidahena.com/1.js
[script]http://3bom%62.com/c.js
[script]http://e6t.3322.org/c.js
[script]http://3b3.org/c.js
[script]http://3b3.org/c.js
[script]http://www.nmidahena.com/1.js
[script]http://3bom%62.com/c.js
[script]http://e6t.3322.org/c.js
[script]http://3b3.org/c.js
      [frame]http://l3ie445b.cn/a/a100.htm
      [frame]http://l3ie445b.cn/a/a100.htm
         [frame]http://l3ie445b.cn/a/index.htm
            [frame]http://l3ie445b.cn/a/flash.htm
                  [frame]http://l3ie445b.cn/a/iss.html
                  [frame]http://l3ie445b.cn/a/fss.html
                  [object]http://l3ie445b.cn/a/f115.swf
            [object]http://l3ie445b.cn/a/f64.swf
               [object]http://l3ie445b.cn/a/f47.swf
            [object]http://l3ie445b.cn/a/f45.swf
               [object]http://l3ie445b.cn/a/f28.swf
            [object]http://l3ie445b.cn/a/f16.swf
            [frame]http://l3ie445b.cn/a/a44.htm
                  [script]http://l3ie445b.cn/a/14.js
                     [object]http://www.f21f2.com/wm/14.exe
            [frame]http://l3ie445b.cn/a/office.htm
                  [script]http://l3ie445b.cn/a/of.js
                     [object]http://www.f21f2.com/wm/of.exe
            [frame]http://l3ie445b.cn/a/02.htm
                  [script]http://l3ie445b.cn/a/set.js
                     [object]http://www.f21f2.com/wm/02.exe
            [frame]http://l3ie445b.cn/a/pef.pdf
         [script]http://l3ie445b.cn/a/\"http:\/\/js.tongji.cn.yahoo.com\/1083501\/ystat.js\"
            [script]http://js.tongji.cn.yahoo.com/1083501/\""+_st_dest+"\"
         [script]http://s31.cnzz.com/stat.php?id=1408284&web_id=1408284
[script]http://%6D%62%72%38%2E%63%6E
      [frame]http://%6D%62%72%38%2E%63%6E/url.asp

[ 本帖最后由 gtyre1 于 2009-6-10 23:23 编辑 ]

显示全部楼层 · 发表于 2009-6-10 23:46:52

为啥我解那个PDF时
我解不了呢

显示全部楼层 · 发表于 2009-6-11 09:41:04

记事本打开pdf，然后找到shellcode 复制到freshow，
一次esc，第二次的时候要加上参数21 再次esc等到地址：
hxxp://www.f21f2.com/wm/pd.exe

[ 本帖最后由 xiaoqiang305 于 2009-6-11 09:42 编辑 ]

显示全部楼层 · 发表于 2009-6-11 10:33:07

在解压的下面还有内容
直接拷贝出来，就可以解了

[ 本帖最后由 shadowmin 于 2009-6-11 10:35 编辑 ]

显示全部楼层 · 发表于 2009-6-11 11:29:12

恩，这倒是弄出来了
谢楼上2位

显示全部楼层 · 发表于 2009-6-11 12:57:29

Stream长度过短(<300)或全部相同时那么PDF中的JScript很有可能是没有压缩过的

[其它] zgcy.net

回复 3楼 gtyre1 的帖子