瑞星卡卡安全论坛

首页 » 技术交流区 » 恶意网站交流 » http://www.taier.com.cn/(泰尔制药)
是昔流芳 - 2010-8-11 17:11:00


引用:

关于:hxxp://www.taier.com.cn/解密的日志(全体输出 -  15):

Level  0>http://www.taier.com.cn/
Level  1>http://bgf.IsGre.at/b.js?google=08x112
Level  2>http://bbu.2288.org/66/567ay.htm
Level  3>http://bbu.2288.org/66/av.htm
Level  4>http://bbu.2288.org/66/7.htm
Level  5>http://bbu.2288.org/66/ieee.jpg
Level  5>http://bbu.2288.org/66/iee.jpg
Level  6>http://bbu.2288.org/n/us.exe  ●
Level  5>http://bbu.2288.org/66/ie.jpg
Level  4>http://bbu.2288.org/66/6.htm
Level  5>http://bbu.2288.org/66/iee.jpg
Level  6>http://bbu.2288.org/n/us.exe  ●
Level  5>http://bbu.2288.org/66/ie.jpg
Level  3>http://bbu.2288.org/66/fff.swf  ●
Level  3>http://bbu.2288.org/66/iie.swf  ●

analyzed by 是昔流芳


用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.2.8) Gecko/20100722 Firefox/3.6.8
09kaka - 2010-8-11 18:01:00


引用:

hxxp://bbu.2288.org/66/567ay.htm

function jc()
{
jc_list = ['res://C:\ProgramFiles\Rising\Rav\rssafety.exe/PNG/123','res://D:\ProgramFiles\Rising\Rav\rssafety.exe/PNG/123','res://E:\ProgramFiles\Rising\Rav\rssafety.exe/PNG/123'];
for ( i= 0; i<jc_list.length; i++)
{
    ischeck = 1;
    x = new Image();
    x.src = "";
    x.onerror = function()
        {
            ischeck = 0;
        }
    x.src = jc_list;
    if (ischeck == 1)
        return 1;
    delete x;
}


如果check到了 做什么操作:kaka2:
jks_风 - 2010-8-11 18:37:00
应该是MPEG-2的那个,FreShow的过滤确实有点不好用,应该学学祥子牛牛的那个redoce

Log is generated by FreShow.
[wide]http://www.taier.com.cn/
    [script]http://b%67f.Is%47re.%61t/b.js?google=08x112
        [object]http://bbu.2288.org/66/567ay.htm
            [frame]http://bbu.2288.org/66/av.htm
                [frame]http://bbu.2288.org/66/6.htm
                    [script]http://bbu.2288.org/66/ie.jpg
                    [script]http://bbu.2288.org/66/iee.jpg
                        [object]http://bbu.2288.org/n/us.exe
                [frame]http://bbu.2288.org/66/7.htm
                    [script]http://bbu.2288.org/66/ie.jpg
                    [script]http://bbu.2288.org/66/iee.jpg
                        [object]http://bbu.2288.org/n/us.exe
                    [script]http://bbu.2288.org/66/ieee.jpg
            [script]http://bbu.2288.org/66/\"http:\/\/js.tongji.linezing.com\/806392
\/tongji.js\"
jks_风 - 2010-8-11 18:46:00

会发现有document.write,这个embed也是和iframe类似可以插入Midi、Wav、AIFF、AU、MP3等格式。
然后发现iframe,自然还是过滤出去继续解密咯。:kaka12:
悠悠Wǒ╭心 - 2010-8-11 19:57:00
样本无法下载。
jks_风 - 2010-8-11 22:35:00
回LS大大 样本现在可以下载了 嘿嘿


样本已上传到可疑文件区,瑞星不报毒 地址:http://bbs.ikaka.com/showtopic-8748727.aspx
1
查看完整版本: http://www.taier.com.cn/(泰尔制药)
© 2000 - 2024 Rising Corp. Ltd.