瑞星卡卡安全论坛

rt

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) )

lz详细写一下问题，否则无法帮你，内容太简单了。:kaka6:

打开页面后，不要去读代码，读着会头晕，直接把十六进制数拷贝出来，去掉中间的哪个变量（实际为空），然后去除引号这些，剩下十六进制数，看看剑盟的教程上有关于这种类型的解法，解开这个地址后，剩下的就比较常见了。最终下载地下为
http://mp3musicsool.ru/travel/update.php?id=1
下载物为load.exe
还有PDF，下载失败，估计要处理好引用页这些。

http://mp3musicsool.ru/travel/update.php?id=1
从哪找到的.我看了半天也没发现.pdf里面的吗?详细过程请说一下.

关于:解密的日志(全体输出 -  9):
Level    >http://www.marashost.com/
Level  3>http://rapidsystemsend.ru/transsend.html?3063398f
Level  4>http://rapidsystemsend.ru/planetamars.html
Level  5>http://mp3musicsool.ru/travel/index.php
Level  6>http://mp3musicsool.ru/travel/bcwebsimply.swf  ●
Level  6>http://mp3musicsool.ru/travel/inethicsis.pdf
Level  6>http://mp3musicsool.ru/travel/bcwebsimply.swf  ●
Level  6>http://mp3musicsool.ru/travel/inethicsis.pdf
Level  6>http://mp3musicsool.ru/travel/update.php?id=1

日志由 Redoce1.9第68次修正版于 2009-7-9 16:19:32 生成。

解到这就连部上了
:kaka18:

这个我连不上去

http://mp3musicsool.ru/travel/update.php?id=1
pdf中的这个址.id=1是如何看到的.谢谢

这个地址是在代码里的，代码里前面应该是两个script，后一个里面就有这个地址。
而ＰＤＦ解出来是没有id=1,找到另外一个跟这个加密方式相同的地址，发现ＰＤＦ不能下载的原因，居然是大小写的问题，faint

呵呵，，，
晚上就连上了
不过那个PDF用迅雷下了下
下载不了？
大小写问题？:kaka3:

http://mp3musicsool.ru/travel/inEthicsIs.pdf
这个地址跟我上面给出的区别就在于最后文件名的，大小写
不知道为什么redoce处理完会都转为小写
附件为ＰＤＦ，很简单

附件: inEthicsIs.rar

无语，现在又连不上了。。。
下了你那个PDF
解了那个SHELLCODE
出这个