|
[组图]天空软件站被挂马
继续下载ip17173.cn这个站点上的index.html文件打开,里面是一堆加密的javascript代码,这是件好事情——小偷偷东西通常都把脸蒙起来。
简单看了一下,虽然js被加密得面目全非,但好在解密函数还在,那么一切都变得简单,将document.write换成alert即可。运行一下index.html,弹出第二个alert窗口便是木马的所在了
9个iframe框架,看来应该对应9个不同的木马哦。用flashget一齐下载,发现有效的仅是vip1.htm~vip4.htm这四个页面,估计剩下的是预留出来的吧。
对这四个页面依次做代码分析便有些冒冷汗了。以下是分析结果
http://www.ip17173.cn/vip1.htm MS-06014 down.exe c:\1.exe
http://www.ip17173.cn/vip2.htm ppstream c:\c.exe
http://www.ip17173.cn/vip3.htm 暴风 c:\u.exe
http://www.ip17173.cn/vip4.htm BaiDuBar calc.cab down.exe
4个溢出漏洞,在前几天还有3个是0day!
一个是ms-06014漏洞,会将其站点的down.exe文件保存到c:\1.exe并运行
一个是ppstream堆栈溢出,将同样文件保存到c:\c.exe并运行
一个是暴风影音溢出漏洞,保存到c:\u.exe并运行
一个是baidubar的溢出漏洞,将calc.cab 保存到down.exe并运行
(这些文件运行后会自我删除,然后关闭杀毒软件,并自动下载其他木马或病毒。)
其中ppstream直到如今仍没有官方补丁。
| 360卫士发布“装机必备软件”下载 | 02-13 |
| 认清本质 计算机病毒防治常遇问题 | 01-24 |
| 彻底杜绝U盘病毒 多重防护力保平 | 01-18 |
| 不再重装 手动清除顽固病毒AutoR | 01-06 |
| 主动出击 让系统远离危害(图) | 01-06 |
| 如何清除能突破主动防御的新型木 | 01-06 |
| Win32.Loader.c(Win32.Downloade | 11-10 |
| Trojan.DL.Win32.Autorun类病毒的 | 11-10 |
| Ghost XP系统含漏洞藏杀机 伺机破 | 10-09 |
| 天空软件站被挂马 | 10-05 |
| QQ尾巴+社会工程学+第三方Active | 09-27 |
| 企业中进行病毒管理防范的技巧 | 09-27 |
您现在的位置: