网页的内容为JavaScript脚本,分为三个部分:
第1部分 是注释:
/--------- /*GW]22Y!9YZbYvwYvA]+Tuv*Y{y]{ uw]{y]y!]F u*uGf]F*YG]vlY Z]vAY*uGR]{cYTG]Tbu{*uG+Y+Z]+Tu&9]yTu +uvR]GW]F*]F!Y&z]+ou su{GuGGu{{]y2uv]1uvf]Ff]y2Yy]*/execScript/* y]+2YXR]*fu*Zuc0Ylc]X*u*T]y+u!9u!z]G2]F*]F Y&G]{fuG*/ ---------/
第2部分 是用(" 和 ")
/--------- ("/43/100/176/……/157/144/145") ---------/
中间的代码我省略了,可以看到这里使用了转义字符。
第3部分 还是注释:
/--------- /*lfuvXuvA]vW]Z9]ZbYvG]9uv2uFuvfuX]2fu +]{fuG]+0]+sY{2]G*Yy2YvlYF%Y+*u u!GY!z]{&uvXYFc]yT]Wv]+oYG2]y!Y&9Yy!YvWYv+]+3uv&Y{y]*u8]{W]+*]+su uv)]+*Y*/ ---------/
由于第2部分可执行代码包含了转义字符,所以最简单办法就是断开网络连接,然后让网页执行一次……
执后的结果是:
/---------
#@~^lwwAAA==[Km;s+ YRS……vb*hGcCAA==^#~@JScript.Encode---------/
中间的代码我省略了。
看到开头的字符,经常弄网页代码的朋友应该会想到encode(),而最后的JScript.Encode也暴露了目标。
用JScript.decode来解码……
【推荐】在线网页脚本代码加密和解密
http://endurer.bokee.com/2047776.html
OK,出来了!
/---------
document.write(unescape('%3C%53%43%52……%54%3E'))
---------/
让它再执行一次,得到一段VBScript脚本,功能是利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 从某网站下载文件 fics/fics.exe,保存为 %temp%/svhost.exe,并利用Shell.Application 对象QQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQ 的 ShellExecute 方法 来运行。
/---------
