目标: irs-online.us
版本: -
来源: hxxp://irs-online.us
工具: Redoce 2.077 / PDF Inflactor / JAD
语言: JavaScript / JavaClass Script
SAC#09008
www.sacour.cn 转载保留此行

找钓鱼网站时候不小心找到的,他想山寨的是irs.gov,米国国税局网站,但是给主页一个马搞的页面都显示不了了(此马测试可中……如果装了Java那个解释器的话),因为中奖加上RSA加密(luckysploit的rsa真的很要人命),所以看了看他,rsa模组在common.js中,很容易找到,然后复制到上级代码中,挂上document.write和eval,然后得到几个连接。

连接指向一个pdf,一个jar文件,简单解密后就能得到结果,其中如果使用redoce解密的话可能需要用到bobby的pdf inflactor(新版redoce一般都集成有,在解密:PZ中,参数输入pdf路径即可。):

关于:hxxp://irs-online.us/解密的日志(全体输出 -  10):

Level  0>hxxp://irs-online.us/
Level  1>hxxp://irs-online.us/rsf/index.php
Level  1>hxxp://infosayt.com/heabes/index.php
Level  2>hxxp://infosayt.com/heabes/files/example.pdf
Level  3>hxxp://infosayt.com/heabes/loadpdf.php
Level  3>hxxp://infosayt.com/heabes/loadpdf.php
Level  3>hxxp://infosayt.com/heabes/loadpdf.php
Level  2>hxxp://infosayt.com/heabes/loadjavad.php?page=1
Level  2>hxxp://infosayt.com/heabes/files/sdfg.jar
Level  2>hxxp://infosayt.com/heabes/js/common.js

日志由 Redoce2.0第77次修正版于 2009-11-27 22:37:55 生成。

与之类似的网站还有:

hxxp://us-irs.us
hxxp://usa-irs.net
hxxp://internal-revenue-services.net
hxxp://us-irs.us
hxxp://internal-revenue-services.us
hxxp://irs-online.us
hxxp://usa-irs.org
hxxp://ustreasurydept.refunds.usa-irs.us/onlineoffice/id-chygtdc67tdc6rfklfkdfhsrds4d78y67r56c567tv675fv7dtffghtfh6tb6t6trftrsctrdfyt3u7y66t5r563387638yh87h89
hxxp://206.74.199.168/www.irs.gov/refund.htm
 

图示为RSA加密的代码部分,在网站的common.js中。

更假隐蔽的class文件(jar文件右键解压)。