《FLASH网马悄然现身互联网》的评论 http://huaidan.org/archives/2018.html 关注网络安全 Sat, 04 Feb 2012 06:18:55 +0000 hourly 1 http://wordpress.org/?v=3.3.1 作者:回收站 http://huaidan.org/archives/2018.html/comment-page-1#comment-10012 回收站 Sun, 01 Jun 2008 02:01:49 +0000 http://huaidan.org/?p=2018#comment-10012 鬼仔,貌似现在这个马又有新东东出来了 前几天我抓到的也就是你现在提的这个,我给个昨天才搞到的。 晕,不知道怎样传图片上来。 这次的SWF里已经没有了“图像”元件 “动作”里代码是这样: // Action script... // [Action in Frame 1] function () { \x03 = 2687 % 511 * 5; return (eval("\x03")); } // End of the function var \x01 = -118 + \x04\x05(); for (\x01 = eval("\x01") - 139; eval("\x01") == 927; \x01 = eval("\x01") + 687) { \x01 = eval("\x01") - 786; if (false) { continue; } // end if } // end of for \x01 = eval("\x01") + 67; if (eval("\x01") == 971) { \x01 = eval("\x01") - 373; } // end if if (eval("\x01") == 137) { \x01 = eval("\x01") + 348; } // end if if (eval("\x01") == 403) { \x01 = eval("\x01") + 568; if (!"\x0f") { } else { \x01 = eval("\x01") - 373; } // end else if } // end if \x01 = eval("\x01") + 442; if (eval("\x01") == 828) { \x01 = eval("\x01") - 26; } // end if if (eval("\x01") == 36) { \x01 = eval("\x01") + 232; if (false) { } else { \x01 = eval("\x01") + 500; } // end else if } // end if if (eval("\x01") == 768) { \x01 = eval("\x01") - 665; } else { \x01 = eval("\x01") - 552; if (eval("\x01") == 598) { \x01 = eval("\x01") - 113; } // end if \x01 = eval("\x01") - 250; if (eval("\x01") == 141) { \x01 = eval("\x01") + 687; } // end if if (eval("\x01") == 268) { \x01 = eval("\x01") + 500; } // end if if (eval("\x01") == 673) { \x01 = eval("\x01") + 129; } // end if \x01 = eval("\x01") + 326; var \x0f = 1; if (eval("\x01") == 945) { \x01 = eval("\x01") - 357; } // end if if (eval("\x01") == 103) { \x01 = eval("\x01") - 103; } // end if } // end else if 跟以前不一样了 另外还有两个“unknown”和"file attributes"的标签, "file attributes"的十六进制是:44 11 00 00 00 unknown 0 是:C1 3F 20 7F 3F 4D 01 00 00 E0 93 D3 85 87 0B 74 2F B2 5C A2 2B AD C5 42 04 50 D8 A4 87 8B A6 A6 5E 10 6C 32 78 26 40 D7 02 和以前的有很大的区别了,照你说的那样改也是不行的了。 鬼仔,貌似现在这个马又有新东东出来了
前几天我抓到的也就是你现在提的这个,我给个昨天才搞到的。
晕,不知道怎样传图片上来。
这次的SWF里已经没有了“图像”元件
“动作”里代码是这样:
// Action script...

// [Action in Frame 1]
function ()
{
\x03 = 2687 % 511 * 5;
return (eval("\x03"));
} // End of the function
var \x01 = -118 + \x04\x05();
for (\x01 = eval("\x01") - 139; eval("\x01") == 927; \x01 = eval("\x01") + 687)
{
\x01 = eval("\x01") - 786;
if (false)
{
continue;
} // end if
} // end of for
\x01 = eval("\x01") + 67;
if (eval("\x01") == 971)
{
\x01 = eval("\x01") - 373;

} // end if
if (eval("\x01") == 137)
{
\x01 = eval("\x01") + 348;

} // end if
if (eval("\x01") == 403)
{
\x01 = eval("\x01") + 568;
if (!"\x0f")
{
}
else
{
\x01 = eval("\x01") - 373;
} // end else if

} // end if
\x01 = eval("\x01") + 442;
if (eval("\x01") == 828)
{
\x01 = eval("\x01") - 26;

} // end if
if (eval("\x01") == 36)
{
\x01 = eval("\x01") + 232;
if (false)
{
}
else
{
\x01 = eval("\x01") + 500;
} // end else if

} // end if
if (eval("\x01") == 768)
{
\x01 = eval("\x01") - 665;

}
else
{
\x01 = eval("\x01") - 552;
if (eval("\x01") == 598)
{
\x01 = eval("\x01") - 113;

} // end if
\x01 = eval("\x01") - 250;
if (eval("\x01") == 141)
{
\x01 = eval("\x01") + 687;

} // end if
if (eval("\x01") == 268)
{
\x01 = eval("\x01") + 500;

} // end if
if (eval("\x01") == 673)
{
\x01 = eval("\x01") + 129;

} // end if
\x01 = eval("\x01") + 326;
var \x0f = 1;
if (eval("\x01") == 945)
{
\x01 = eval("\x01") - 357;

} // end if
if (eval("\x01") == 103)
{
\x01 = eval("\x01") - 103;

} // end if

} // end else if

跟以前不一样了
另外还有两个“unknown”和"file attributes"的标签,
"file attributes"的十六进制是:44 11 00 00 00
unknown 0 是:C1 3F 20
7F 3F 4D 01 00 00 E0 93 D3 85 87 0B 74 2F B2 5C A2 2B AD C5 42 04 50 D8 A4 87 8B A6 A6 5E 10 6C 32 78 26 40 D7 02

和以前的有很大的区别了,照你说的那样改也是不行的了。

]]> 作者:Flash 0day生成器 | 鬼仔’s Blog http://huaidan.org/archives/2018.html/comment-page-1#comment-9950 Flash 0day生成器 | 鬼仔’s Blog Thu, 29 May 2008 12:51:16 +0000 http://huaidan.org/?p=2018#comment-9950 [...] 鬼仔:也就是这个了,open写的。 [...] [...] 鬼仔:也就是这个了,open写的。 [...]

]]>