前记
这是很早之前分析的网页挂马案例,我当时分析的也很细致。最近在整理文档时发现了它,这篇文章正好能展示出病毒从网页挂马到本机运行的完整流程,感觉还是有分享的价值的。
20XX年X月XX日,XXX发现,XXX网(http://www.XXXXX.cn/)被攻击者植入网页木马,含有漏洞的用户系统如果访问该页面,会自动从恶意网站下载恶意程序并运行,恶意程序可能会破坏用户系统、窃取用户敏感信息、远程控制用户系统等。
XXXXX网网站被挂马页面:
挂马层次结构:
[root]http://www.XXXXX.cn/[script]http://ajax.googleapis.com/ajax/libs/jquery/1.2.6/jquery.min.js
[iframe]http://www.garden.sh.cn/frame/top.aspx
[iframe]http://www.garden.sh.cn/frame/inav.aspx
[iframe]http://www.garden.sh.cn/frame/topads.htm
[flash]http://www.garden.sh.cn/frame/../images/6.swf
[iframe]http://www.garden.sh.cn/frame/focuspic.aspx
[script]http://www.garden.sh.cn/frame/../js/foucspic_show.js
[iframe]http://www.garden.sh.cn/frame/foot.aspx
[script]http://aoyun.chickenkiller.com:10086/images/1.gif
[iframe]http://jajss.ignorelist.com:10/images/error.htm
[iframe]http://jajss.ignorelist.com:10/images/3.htm(CVE-2012-003)
[virus]http://1.jk136.com:123/js/js/js.js
[iframe]http://jajss.ignorelist.com:10/images/3.htm(Exploit.IeCVE0806)
[virus]http://1.jk136.com:123/js/js/js.js
此网页木马利用以下漏洞进行传播:
CVE-2010-0806漏洞CVE-2012-003 漏洞
当用户访问挂马网站,系统会自动下载病毒文件:
1. 网页木马直接下载的病毒文件:
http://1.jk136.com:123/js/js/js.js 病毒名:Trojan/Win32. Agent.tozj[Downloader]描述:“下载者”木马。病毒运行后,衍生多个文件到系统目录下;修改创建注册表值使之文件隐藏、更改主页 地址、更改选项使用户无法改回主页,添加“IFEO”劫持多款杀毒软件、注册表、安全工具等;然后通过连接网 址下载文件count.exe,从此文件获取下载列表。然后下载恶意文件到本机执行。
衍生文件:
c:\WINDOWS\Qedie\conime.exe(样本复制自身后写入一些空字符,以改变文件的大小)
2.读取列表下载地址:
http://text.jk136.com:123/js/js/count.exe3.由下载者木马下载的其他病毒文件:
http://text.jk136.com:123/js/js/1d.exe
病毒名:
Trojan/Win32.antavka.ata
病毒描述:
QQ盗号木马。运行后删除自身,修改注册表使文件属性为隐藏且用户无法修改、添加启动项、添 加“IFEO”劫持多款杀毒软件、注册表、安全工具等。隐藏系统下的system32目录,并向其释放大量恶意文 件。
衍生文件:
c:\autorun.inf内容为:
[AutoRun]
shell\open=打开(&O)
shell\open\Command=w3wp.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=w3wp.exe
其目的是当用户点击打开磁盘或资源管理器时都执行w3wp.exe
c:\w3wp.exe
c:\WINDOWS\system32\pagefile.exe
c:\WINDOWS\system32\pagefile.inf
c:\WINDOWS\system32\w3wp.exe
http://text.jk136.com:123/js/js/2y.exe
病毒名:
Trojan/Win32.Bjlog.stt[Stealer]
病毒描述:
此病毒为后门类程序,当运行在用户机器上是会监控用户行为盗取账号密码等敏感信息。并把衍生的文件注入到svchost.exe中。
衍生文件:
c:\Documents and Settings\Administrator\btbtidopqec:\Documents and Settings\All Users\Application Data\Storm\update\%SESSIONNAME%\ dgbcu.cc3
c:\WINDOWS\system32\ e22a4301.rdb
http://text.jk136.com:123/js/js/3t.exe
病毒名:
Trojan/Win32.delf.acc[downloader]
病毒描述:
“下载者”木马
衍生文件:
c:\WINDOWS\QQSAFER.exe(文件复制自身到此目录)http://bbs.jk136.com:10/js/js/4i.exe
病毒名:
Trojan/Win32.delf.aqt[downloader]
病毒描述:
广告类程序。文件添加注册表项自启动,篡改浏览器主页,并修改注册表项使之无法改回主页
衍生文件:
c:\Program Files\Common Files\Microsoft Shared\MSInfo\iejore.exe(复制自身到此目录)c:\Documents and Settings\Administrator\Favorites\百度一下.url
c:\Documents and Settings\Administrator\「开始」菜单\百度一下.url
c:\Documents and Settings\Administrator\桌面\百度一下.url
http://text.jk136.com:123/js/js/5c.exe
病毒名:
Backdoor/Win32.Delf.yqo
病毒描述:
后门程序。运行后主动连接到广告网站。
衍生文件:
C:\WINDOWS\system32\tccj.dllhttp://text.jk136.com:123/js/js/6h.exe
病毒名:
Trojan/Win32.chifrax.bfn
病毒描述:
修改host文件劫持URL的木马程序。其程序会对用户host文件进行操作,添加大量安全厂商网址并将其域名映射到本机IP起到屏蔽网址的作用,之后又添加大量常用网址将其域名映射到IP 61.151.253.45,起到刷广告的目的。