晚上上Q,发现群里有一条讯息: ×× 21:33:52(名字隐去,是小我一届的师弟) www.9000music.com这里有我的照片大家去看下你们也可以把照片放进去的 毫无疑问,师弟中毒了。 我从毒源,也就是这个网址入手,查看hxxp://www.9000music.com(为免误点,将tt改成xx,下同)的代码,发现两段script,和一个frame比较可疑。 如果直接打开这个网站,你会看到百度的界面,而网页标题是“页面加载中……”(连这段页面标题的html代码也是简单加密过的)。表面上你会发现跟平常使用百度是一样的,还可以正常搜索,答案是它本来就是把百度页面嵌入其中的,你看到的是真正的百度的页面,可是在表象后面,script和另一个frame的运作就不为你所知了。 还原script,前面为定义一个function RrRrRrRr,操作对象为字符串,后面为对一串字符串执行这个函数。看看执行后的结果,?不是带毒链接? 于是目标转到frame,查看对应的jijy.htm的代码,结果它的script和主页上的script结构一样,前面定义的function是一样的,但是后面执行的对象内容不一样,把这两段script还原,恶意代码的真面目终于显露出来,起作用的是一段vbscript,利用的是MS06-014漏洞。(其实我对系统漏洞一点都不熟,但是近几天我对恶意代码感兴趣之后,找到的近来的毒网的恶意代码,大多数都是利用这一漏洞的,所以也就记下来了。) 代码如图1。(本人对网页代码实在才疏学浅,哪位发现其中还有其他恶意代码没发现的欢迎补充。) 下载hxxp://www.9000music.com/a/a.exe到本机并运行 于是我自己下载a.exe,在临时文件夹中时,瑞星报毒Trojan.DL.Agent.wsl。关闭瑞星监控(一般用户千万别模仿),把它下载下来,用winrar压缩保存。 图1: |
发贴时间:2006-10-15 1:41:46 |
病毒样本可发到邮箱yicong2007@yahoo.com.cn 远景晟地http://bbs.pcvista.cn/ |
√推荐使用快速、安全、广告过滤强大的傲游浏览器。 |
|
|
|
|
|
|
|