网马解密悬赏第五十一期（已结束） bbs.ikaka.com

networkedition - 2010-8-10 9:41:00

引用:

解密地址：http://www.harasdigital.com.br/harasisas/uppm.htm

引用:

规则：1.一次解完并附解密日志和步骤（包含swf和pdf网马），奖赏10威望，如果部分解出，每步奖赏2威望；
2. 如地址失效，请下载附件源代码来进行解密。
3.对于积极参与此活动会员，并多次中奖者，我们可以诚邀加入卡卡反病毒小组

引用:

解密工具：
Freshow（中文版）
Redoce（中文版）
Malzilla （汉化版）

引用:

在线解析站点：
http://glacierlk.cn/openlab/jm.htm
http://www.cha88.cn/

引用:

注：论坛所有会员均可参加，严禁使用md的自动解密功能

引用:

恶意网址来源瑞星全功能安全软件拦截到真实有效的地址

用户系统信息：Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)

用户系统信息：Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)

附件: uppm.rar

Anges() - 2010-8-10 9:43:00

在此观站小白解密~~~:kaka12:

Cool_wXd - 2010-8-10 9:47:00

留贴跟踪
ZCV

Anges() - 2010-8-10 9:51:00

.gif

09kaka - 2010-8-10 10:36:00

解完保存瑞星报毒:kaka12:

附件: ascii.txt

Anges() - 2010-8-10 10:38:00

网马地址url 在哪？:kaka2: 你发的txt里ms没有。

09kaka - 2010-8-10 10:42:00

这个等楼下回答:kaka11:

应该是zcv.gif

leo108 - 2010-8-10 11:01:00

先用freshow check获取网页代码，然后复制代码到一个html文件，把文件里面的document.write(unescape(HJN));更改为document.write(HJN);

然后打开这个html文件
得到加密后的代码

全选复制后，在freshow下esc获取代码

在function md2c下发现一行可疑代码
var urlRealExe = insertURL2('zcv.gif');
查看function insertURL2
发现是获取当前目录地址+参数，也就是说，urlRealExe = hxxp://www.harasdigital.com.br/harasisas/zcv.gif
原本以为还有下一步解密，于是freshow查看zcv.gif，结果一堆乱码。。。。。。思路断了，后来用迅雷下载zcv.gif，用瑞星扫描不报毒，bitdenfender报木马。于是得出：zcv.gif即是木马，改了后缀而已，可能针对瑞星做了免杀。

jks_风 - 2010-8-10 11:47:00

杯具了，原来我早就解密出来了，只是没看题目。
解密地址：http://www.harasdigital.com.br/harasisas/uppm.htm

其实不用leo同学的解密方法，直接alert替换就可以直接解密出来了。一直在哪里绕圈圈:kaka6:
zcv.gif加上networkdition老师给出的网马地址即可。:kaka6:

刚才请教了下-m老大，直接被训:kaka4:

以后千万不能熬夜了。熬夜第二天头就晕晕的:kaka8:

Anges() - 2010-8-10 12:35:00

你这里所说的alert有点不准确也。
万一，alert被截断了呢。而真实的网马地址在最后面，你又看不见怎么办。。。。
最好最直观的办法就是让他输入在文本框里。。。。:kaka12:

瑞星卡卡安全论坛