endurer 原创
2007-01-08 第1版
网页的内容为JavaScript脚本,分为三个部分:
第1部分 是注释:
/---------
/*GW]22Y!9YZbYvwYvA]+Tuv*Y{y]{ uw]{y]y!]F u*uGf]F*YG]vlY Z]vAY*uGR]{cYTG]Tbu{*uG+Y+Z]+Tu&9]yTu +uvR]GW]F*]F!Y&z]+ou su{GuGGu{{]y2uv]1uvf]Ff]y2Yy]*/execScript/* y]+2YXR]*fu*Zuc0Ylc]X*u*T]y+u!9u!z]G2]F*]F Y&G]{fuG*/
---------/
第2部分 是用(" 和 ") 括起来的可执行代码:
/---------
("/43/100/176/……/157/144/145")
---------/
中间的代码我省略了,可以看到这里使用了转义字符。
第3部分 还是注释:
/---------
/*lfuvXuvA]vW]Z9]ZbYvG]9uv2uFuvfuX]2fu +]{fuG]+0]+sY{2]G*Yy2YvlYF%Y+*u u!GY!z]{&uvXYFc]yT]Wv]+oYG2]y!Y&9Yy!YvWYv+]+3uv&Y{y]*u8]{W]+*]+su uv)]+*Y*/
---------/
由于第2部分可执行代码包含了转义字符,所以最简单办法就是断开网络连接,然后让网页执行一次……
执后的结果是:
/---------
#@~^lwwAAA==[Km;s+YRS……vb*hGcCAA==^#~@JScript.Encode
---------/
中间的代码我省略了。
看到开头的字符,经常弄网页代码的朋友应该会想到encode(),而最后的JScript.Encode也暴露了目标。
用JScript.decode来解码……
【推荐】在线网页脚本代码加密和解密
http://endurer.bokee.com/2047776.html
OK,出来了!
/---------
document.write(unescape('%3C%53%43%52……%54%3E'))
---------/
让它再执行一次,得到一段VBScript脚本,功能是利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 从某网站下载文件 fics/fics.exe,保存为 %temp%/svhost.exe,并利用Shell.Application 对象QQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQ 的 ShellExecute 方法 来运行。
/---------
文件说明符 : D:/test/fics.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-1-8 14:59:58
修改时间 : 2007-1-8 14:59:59
访问时间 : 2007-1-8 15:45:13
大小 : 41984 字节 41.0 KB
MD5 : 23c572893d8ad2f929a8d4b12be37f5f
---------/
Kaspersky 报为 Trojan-Downloader.Win32.Delf.ajm。
这个病毒以前遇到过,如:
一个被加入下载木马Trojan-Downloader.Win32.Delf.ajm的网站
http://endurer.bokee.com/5932854.html
http://blog.csdn.net/Purpleendurer/archive/2006/12/07/1434118.aspx
http://blogone.net/user50/endurer/blog/48105243.html
分享到:
相关推荐
【病毒名称】:Trojan-Downloader.Win32.Generic.a 【病毒类型】:下载者 【危害程度】:中 【传播方式】:网络 【受影响系统】:windows 98以上 病毒行为: 该病毒为下载者木马类,病毒运行后调用API获取系统文件夹...
针对Trojan-Dropper.Win32.Dropkit.a病毒,清除所需要的工具包,包括金山反间谍2007、PowerRmv、sreng2.5
RakhniDecryptor,即卡巴斯基Rakhni勒索病毒解密工具,可以解密Rakhni在内的15种勒索病毒软件,其中还包括一款安卓勒索软件"Trojan-Ransom.AndroidOS.Pletor",如果你的电脑或安卓手机感染了勒索病毒,可以使用该...
trojan
2020年trojan最新windows64客户端
RannohDecryptor是卡巴斯基推出的一个Rannoh勒索病毒解密工具,可以解密Rannoh在内的7款勒索软件加密的文件,包括Polyglot、Rannoh、AutoIt、Fury...7、Trojan-Ransom.Win32.CryptXXX (目前能解版本1、版本2,版本3)
Trojan Client
这是一个只有bug修复的版本: [Bug修复] 修复Safari PAC不工作 [Bug修复] 修复断开连接后privoxy不会释放端口 [Bug修复] 修改PAC立即生效 [Bug修复] 修复不开启http模式还检查http端口是否占用的bug
java-trojan-源码.rar
[confluence插件] easymind-3.1.2.jar [confluence插件] easymind-3.1.2.jar [confluence插件] easymind-3.1.2.jar [confluence插件] easymind-3.1.2.jar [confluence插件] easymind-3.1.2.jar ...
trojan-Qt5客户端-windows版本,小巧好用,图形化界面。
trojan-qt5 for linux
trojan-qt5.app.zip
[confluence插件] multiexcerpt-conf-plugin-4-5.6.30 [confluence插件] multiexcerpt-conf-plugin-4-5.6.30 [confluence插件] multiexcerpt-conf-plugin-4-5.6.30 [confluence插件] multiexcerpt-conf-plugin-4-5.6...
[confluence插件] treecopy-2.6.51.obr [confluence插件] treecopy-2.6.51.obr [confluence插件] treecopy-2.6.51.obr [confluence插件] treecopy-2.6.51.obr [confluence插件] treecopy-2.6.51.obr ...
[confluence插件] git-plugin-2.12.15 [confluence插件] git-plugin-2.12.15 [confluence插件] git-plugin-2.12.15 [confluence插件] git-plugin-2.12.15 [confluence插件] git-plugin-2.12.15[confluence插件] git-...
[confluence插件] gliffy-confluence-plugin-9.7.4.obr [confluence插件] gliffy-confluence-plugin-9.7.4.obr [confluence插件] gliffy-confluence-plugin-9.7.4.obr [confluence插件] gliffy-confluence-plugin-...
[confluence插件] confluence-markdown-macro-1.6.22.jar [confluence插件] confluence-markdown-macro-1.6.22.jar [confluence插件] confluence-markdown-macro-1.6.22.jar [confluence插件] confluence-markdown-...
[confluence插件] custom-charts-server-5.2.12.obr [confluence插件] custom-charts-server-5.2.12.obr [confluence插件] custom-charts-server-5.2.12.obr [confluence插件] custom-charts-server-5.2.12.obr ...