networkedition - 2010-8-6 14:37:00
Log generated by networkedition use mdecoder 0.54
[root]http://soft.9ptv.org/s1/(九品网络电视 9PTV (V2008) - 绿色高速网络电视)
[script]http://soft.9ptv.org/s1/main/skin.js
[iframe]http://soft.9ptv.com/s1/gg/033.html
[exp]http://vby4.3322.org:98/ok/he10.htm(Exploit.Ie0dayCVE0806.a)
[iframe]http://www.dduu.com/goog/rsgg/950x90.html
[script]http://www.dduu.com/goog/rsgg/js/googleAd.js
[iframe]http://c.chinaih.com/760x90_1.html?aid=17778
[script]http://c.chinaih.com/inc_1.js
[exp]http://vby4.3322.org:98/ok/he10.htm(Exploit.Ie0dayCVE0806.a)
[script]http://vby4.3322.org:98/ok/ap.js
[virus]http://ccc.ip33033.com:98/y30.exe
[script]http://js.users.51.la/2584327.js
用户系统信息:Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)
jks_风 - 2010-8-7 0:16:00
Log is generated by FreShow.
[wide]http://soft.9ptv.org/s1
[script]http://soft.9ptv.org/main/skin.js
[frame]http://soft.9ptv.com/s1/gg/033.html
[frame]http://vby4.3322.org:98/ok/he10.htm
[object]http://ccc.ip33033.com:98/y30.exe
[frame]http://www.dduu.com/goog/rsgg/950x90.html
[script]http://www.dduu.com/goog/rsgg/js/googleAd.js
[frame]http://c.chinaih.com/760x90_1.html?aid=17778
[frame]http://vby4.3322.org:98/ok/he10.htm
[object]http://ccc.ip33033.com:98/y30.exe
[script]http://js.users.51.la/2584327.js
[script]http://count26.51yes.com/click.aspx?id=260779439&logo=12
[script]http://s34.cnzz.com/stat.php?id=1861010&web_id=1861010
Anges() - 2010-8-7 22:25:00
分析过程如下(仅分析hxxp://vby4.3322.org:98/ok/he10.htm)
查看源码我们可以发现一个js脚本。
hxxp://vby4.3322.org:98/ok/ap.js
下载下来,发现是个标准的shellcode加密。没有经过异或加密。
我们直接找个shellcode解密工具解密之。
部分解密片段
狘?瓨
鴢织汒Sfhxxp://ccc.ip33033.com:98/y30.exe WWWWWWWW');
可以很清晰的看到网马地址为:hxxp://ccc.ip33033.com:98/y30.exe
建议不懂怎么解密的,多看下networkedition的解密教程,从基础看起。:kaka12:
jks_风 - 2010-8-8 0:49:00
嘿嘿 netwodition老师的教程很多,有些时候不知道咋解密了就回去翻他的帖子。:kaka12:
© 2000 - 2024 Rising Corp. Ltd.