继续下载ip17173.cn这个站点上的index.html文件打开，里面是一堆加密的javascript代码，这是件好事情——小偷偷东西通常都把脸蒙起来。

简单看了一下，虽然js被加密得面目全非，但好在解密函数还在，那么一切都变得简单，将document.write换成alert即可。运行一下index.html，弹出第二个alert窗口便是木马的所在了

9个iframe框架，看来应该对应9个不同的木马哦。用flashget一齐下载，发现有效的仅是vip1.htm~vip4.htm这四个页面，估计剩下的是预留出来的吧。

对这四个页面依次做代码分析便有些冒冷汗了。以下是分析结果

http://www.ip17173.cn/vip1.htm              MS-06014               down.exe              c:\1.exe
http://www.ip17173.cn/vip2.htm              ppstream               c:\c.exe
http://www.ip17173.cn/vip3.htm              暴风                   c:\u.exe
http://www.ip17173.cn/vip4.htm              BaiDuBar              calc.cab              down.exe

4个溢出漏洞，在前几天还有3个是0day！

一个是ms-06014漏洞，会将其站点的down.exe文件保存到c:\1.exe并运行

一个是ppstream堆栈溢出，将同样文件保存到c:\c.exe并运行

一个是暴风影音溢出漏洞，保存到c:\u.exe并运行

一个是baidubar的溢出漏洞，将calc.cab 保存到down.exe并运行

（这些文件运行后会自我删除，然后关闭杀毒软件，并自动下载其他木马或病毒。）

其中ppstream直到如今仍没有官方补丁。

上一页  [1] [2] [3] 下一页