用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)

Log is generated by FreShow.
[wide]http://www.jci.jx.cn/news/news/news_notice_out/1637127.html
    [script]http://www.jci.jx.cn/news/Click.asp?NewsID=09123016371215729
        [script]http://w2w.2.wwvv.us/images/css/swf.swf
            [frame]http://liudidi.9966.org/images/css/mepeg.htm
            [frame]http://liudidi.9966.org/images/css/tj.htm
            [frame]http://liudidi.9966.org/images/css/ff.htm
            [frame]http://liudidi.9966.org/images/css/of.htm
            [frame]http://liudidi.9966.org/images/css/dom.htm
            [frame]http://liudidi.9966.org/images/css/bf.htm
    [script]http://www.jci.jx.cn/news/ReviewContent.asp?NewsID=09123016371215729
        [script]http://w2w.2.wwvv.us/images/css/swf.swf
            [frame]http://liudidi.9966.org/images/css/mepeg.htm
                [script]http://liudidi.9966.org/images/css/dj.jpg
                    [object]http://vvvv.wwvv.us/images/css/css.swf
                [script]http://liudidi.9966.org/images/css/dj1.jpg      （这个里面有一个logo.gif  但是好像没有网马）
            [frame]http://liudidi.9966.org/images/css/tj.htm
                [script]http://count45.51yes.com/click.aspx?id=457288414&logo=1
                    [frame]http://count45.51yes.com/sa.aspx?id=457288414'+yesdata+'
            [frame]http://liudidi.9966.org/images/css/ff.htm
                [script]http://liudidi.9966.org/images/css/go.js
                    [object]http://vvvv.wwvv.us/images/css/css.swf
            [frame]http://liudidi.9966.org/images/css/of.htm
                [script]http://liudidi.9966.org/images/css/of.js
                    [object]http://vvvv.wwvv.us/images/css/css.swf
            [frame]http://liudidi.9966.org/images/css/dom.htm
                    [object]http://vvvv.wwvv.us/images/css/css.swf
            [frame]http://liudidi.9966.org/images/css/bf.htm
                    [object]http://vwv.wwvv.us/images/css/css.swf
上部分的网马和下半部分网马地址相同，因此只分析了下半部分。
1、 [frame]http://liudidi.9966.org/images/css/mepeg.htm
这个里面用Freshow获得不了源码，于是使用了recoder获取源码，发现这个源码是一段脚本程序，于是想到使用“神器”的运行脚本功能进行解密：

 附件: 您所在的用户组无法下载或查看附件
解密下半部分有一段代码，就是上面的mepeg.htm所运行后的代码，粘回Freshow，Filter一下，得到了 [script]http://liudidi.9966.org/images/css/dj.jpg 这个文件。这个文件中，发现是一段16进制加密后的shellcode，经过三次的ESC，得到网马！

 附件: 您所在的用户组无法下载或查看附件
2、http://liudidi.9966.org/images/css/of.htm  同理也是一个脚本程序，用神器可以得到of.js的脚本

 附件: 您所在的用户组无法下载或查看附件
http://liudidi.9966.org/images/css/of.js 获取源码之后，经过3次ESC，可以得到最后的网马！
3、http://count45.51yes.com/click.aspx?id=457288414&logo=1
这个解密以后，需要分析源代码，发现里面有一个doucumt。write，但是我替换之后，发现直接显示在了网页上，于是我在开头和结尾加入了脚本标签。
但不知道是浏览器原因还是什么原因，显示了如下内容，其中的fream非常长，获取的网址没有进一步的信息：

 附件: 您所在的用户组无法下载或查看附件
4、http://liudidi.9966.org/images/css/dom.htm
发现有document.write  清除以后出现如下代码，发现又是一段脚本。。头大啊  5555555555

 附件: 您所在的用户组无法下载或查看附件
最后可以2次ESC得到网马地址  http://vwv.wwvv.us/images/css/css.swf
5、http://liudidi.9966.org/images/css/bf.htm
这个获取源码之后，发现又有eavl又有document.write，瞬间有点头晕。。而且看来是一种被变换了的10进制加密。

 附件: 您所在的用户组无法下载或查看附件
替换了document，用网页没有任何东西弹出来，于是想到用recoder解。
前两天弄一个网马，瑞星杀掉了recoder。。后来发现recoder还能用，但是document清除没用了，后来重新下载了recoder，才用document清除找到了网马。

 附件: 您所在的用户组无法下载或查看附件

6、这个网址的解密：http://liudidi.9966.org/images/css/ff.htm
发现了一个脚本中含有了doucument.write于是替换成alert，弹出如下框体：

 附件: 您所在的用户组无法下载或查看附件
发现了有jo.js，获取http://liudidi.9966.org/images/css/jo.js源码后再进行三次ESC
得到网马地址。

 附件: 您所在的用户组无法下载或查看附件


补充：老师您在QQ上提醒了用recoder解密，于是我试验了一下，发现recoder和Freshow解出的网址结构不同，多出一个Freshow没有的网址：http://www.jci.jx.cn/news/news/.images/top.swf。对这个进行进一步分析之后，发现其结构和下面的两个网址完全相同，都是：
Level  3>http://liudidi.9966.org/images/css/bf.htm
Level  3>http://liudidi.9966.org/images/css/dom.htm
Level  3>http://liudidi.9966.org/images/css/of.htm
Level  3>http://liudidi.9966.org/images/css/ff.htm
Level  3>http://liudidi.9966.org/images/css/tj.htm
Level  3>http://liudidi.9966.org/images/css/mepeg.htm
这6个3级网址，分析参照上面http://www.jci.jx.cn/news/ReviewContent.asp?NewsID=09123016371215729的分析步骤


关于:hxxp://www.jci.jx.cn/news/news/news_notice_out/1637127.html解密的日志(全体输出 -  13):

Level  0>http://www.jci.jx.cn/news/news/news_notice_out/1637127.html
Level  1>http://www.jci.jx.cn/news/news/.images/top.swf
Level  2>http://www.2.wwvv.us/images/css/swf.swf
Level  3>http://liudidi.9966.org/images/css/bf.htm
Level  3>http://liudidi.9966.org/images/css/dom.htm
Level  3>http://liudidi.9966.org/images/css/of.htm
Level  3>http://liudidi.9966.org/images/css/ff.htm
Level  3>http://liudidi.9966.org/images/css/tj.htm
Level  3>http://liudidi.9966.org/images/css/mepeg.htm
Level  2>http://www.2.wwvv.us/images/css/swf.swf
Level  2>http://count1.count.xj.cn/images/images/1.css

Level  1>http://www.jci.jx.cn/news/click.asp?newsid=09123016371215729
Level  1>http://www.jci.jx.cn/news/reviewcontent.asp?newsid=09123016371215729

日志由 Redoce1.9第26次修正版于 2010-3-3 14:26:28 生成。

 附件: 您所在的用户组无法下载或查看附件
 附件: 您所在的用户组无法下载或查看附件
 附件: 您所在的用户组无法下载或查看附件
 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件