请求解密

幸福的猪猪

从cnbeta看到联想的站点被植入恶意代码，可惜得到了恶意网页的源代码，却不知道怎么解密。


p.s. 附件为恶意站点的源代码。

asinasina

不会，等大神~~
感觉里面错误有点多，运行不了

kaba2

     哪个页面啊？能不能给个连接…

qianwenxiang

下不到了，不过不出意外就是这个，这个是第一个利用JavaApplets下载文件的目标网址
hxxp://registr3red.com/priv/l.php?deserialize=3b&i=

至于后面的，var bzemh4=parseInt(document.getElementsByTagName('p')[0].innerHTML);，在之前就有一句document.write('<p>3383</p>');，所以bzemh4=3383

把底下的代码相应换为：
var bzemh4=3383;
var ktbpg='';
for (csisgmk3 = 3383; csisgmk3 > 0; csisgmk3--)
{
   for (juiqjp5 = 3383-csisgmk3; juiqjp5 <= 13532; juiqjp5=juiqjp5+3383)
   {
     ktbpg=ktbpg+fsbveu.charAt(juiqjp5);
   }
}
var iphpft=ktbpg+";";
// iphpft=iphpft.replace(/`/igm,' ').replace(/~/igm,'"').replace(/@/igm,String.fromCharCode(50-30-10)).replace(/?/igm,'\\');  //此行有错，暂时注释掉，稍后手动换回
document.write(iphpft);

执行结果： (1.txt)

把`换为空格、~换为双引号、@换为ASCII=10的字符（Key:Cr）、?换为\，得到：(2.txt)

一切明朗，结果肯定也还是开头的那个php

幸福的猪猪

回复 4楼 qianwenxiang  的帖子

膜拜解密高手。

p.s. 回来修改一下帖子的内容。（早上了，新的一天）

难道，那个病毒作者也光顾cnbeta？要不然，那个下载地址会那么快的失效？（昨天下午，获取源代码的时候，就复制版主说的那个php下载地址。可惜，下载不到样本。所以，以为那个是假的地址，真的地址被加密了。

看了一下版主解密结果，原来那个样本下载地址就在我的面前。（简单的事情，被我弄得很复杂似的。。。 ）

asinasina

回复 4楼 qianwenxiang  的帖子


    果然是大神..