1   1  /  1  页   跳转

[教程] 另类网马解密

收藏
本主题由 版主 networkedition 于 2009-6-10 14:37:23 执行 设置高亮 操作
networkedition
头像
社区嘉宾
  • 帖子:36698
  • 注册: 2008-02-28
  • 来自:
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2009-06-10 13:47 | 只看楼主 短消息 资料
字号: 1楼

另类网马解密

今天讲解的这个网马解密,是昨天在每日播报中的一个网址(eyeni.ys168.com),这个应该是个人的永硕E盘。"另类"是指这个恶意网址用freshow、redoce等工具无法找到,但直接访问这个网址,瑞星全功能安全软件有拦截,说明此网站应该含有恶意代码。以下为杀毒软件所报内容:



引用:
漏洞对象名                                                      处理结果                                                        发现日期                                                        病毒来源                                                        访问染毒文件的进程                                              文件                                                           
risks.url(ignored)                                              直接运行                                                        2009-06-09 21:43:49                                                                                                            "C:\Program Files\Internet Explorer\iexplore.exe"              http://eyeni.ys168.com/                                       
microsoft.xmlhttp                                              直接拒绝                                                        2009-06-09 21:43:49                                                                                                            "C:\Program Files\Internet Explorer\iexplore.exe"              http://ys-C.ys168.com/?home.txt_4s7bso7d7ejs7bs1btrrooll0co7bktm4bp0bsl2btl5bu1u20f16z


实际上这个网马解密,最后是通过杀毒软件所报链接地址,反查网站源代码后才解密出来的。下面来详细讲解一下:

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
最后编辑networkedition 最后编辑于 2009-06-10 14:21:38
分享到:
gototop
 
networkedition
头像
社区嘉宾
  • 帖子:36698
  • 注册: 2008-02-28
  • 来自:
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2009-06-10 13:55 | 只看楼主 短消息 资料
字号: 2楼

回复: 另类网马解密

我们先来看一下杀毒软件所报链接地址: hxxp://ys-c.ys168.com/?home.txt_4s7bso7d7ejs7bs1btrrooll0co7bktm4bp0bsl2btl5bu1u20f16z,看看这个源文件内容是什么,使用freshow来查看一下网站源文件内容(见下列截图):

最后编辑networkedition 最后编辑于 2009-06-10 14:20:37
gototop
 
networkedition
头像
社区嘉宾
  • 帖子:36698
  • 注册: 2008-02-28
  • 来自:
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2009-06-10 14:00 | 只看楼主 短消息 资料
字号: 3楼

回复: 另类网马解密

大家应该还记得,前几期的网马解密教程中,有讲解过US-ASCII解密方法,freshow解密选项选择:US-ASCII,直接decode,还是来看一下截图吧:
gototop
 
networkedition
头像
社区嘉宾
  • 帖子:36698
  • 注册: 2008-02-28
  • 来自:
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2009-06-10 14:07 | 只看楼主 短消息 资料
字号: 4楼

回复: 另类网马解密

这个网马地址今天下载并未失效,瑞星杀毒软件报:Trojan.Win32.Delf.fml。以上是我们通过杀毒软件所报链接地址,通过freshow查看源文件内容,才将此网马解密出来。说明此网站的确是被挂马,下面我们就通过工具来查看具体链接地址。




上图为freshow检查各个链接地址,均为发现杀毒软件所报链接地址。
本帖被评分 1 次
gototop
 
networkedition
头像
社区嘉宾
  • 帖子:36698
  • 注册: 2008-02-28
  • 来自:
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2009-06-10 14:25 | 只看楼主 短消息 资料
字号: 5楼

回复: 另类网马解密

在这里我们用到另外一个解密工具,这个工具主要是针对freshow、redoce、神器等网马解密工具,无法找到恶意链接地址,而实际网站存在恶意链接地址。这个工具叫:网页源代码查看分析器,我们通过这个工具直接查看网站源代码,经过仔细分析才找到该恶意链接地址,详见下列截图:
gototop
 
networkedition
头像
社区嘉宾
  • 帖子:36698
  • 注册: 2008-02-28
  • 来自:
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2009-06-10 14:36 | 只看楼主 短消息 资料
字号: 6楼

回复: 另类网马解密

实际这个网站有多处被挂马,所挂链接均为1.exe。通过这个实例的讲解,也想让大家了解,解密工具实际上并不是万能的,对于这种另类的网马,就需要其他非常手段了。
gototop
 
艾玛
头像
大版主
  • 帖子:18894
  • 注册: 2004-01-01
  • 来自:
卡卡名人堂论坛9周年纪念
发表于: 2009-06-10 14:48 | 短消息 资料
字号: 7楼

回复:另类网马解密

页面里有ID
gototop
 
kekao
头像
快乐黄口狮
  • 帖子:151
  • 注册: 2008-03-08
  • 来自:
发表于: 2009-06-11 12:37 | 短消息 资料
字号: 8楼

回复:另类网马解密

这个站挂马能在浏览器中运行吗?

在其它链接中加入应该会有效果.在这个网站直接挂马可以利用<script>
gototop
 
於陵闲云
头像
卡卡反病毒小组
  • 帖子:113
  • 注册: 2007-11-28
  • 来自:
10温馨圣诞
发表于: 2009-07-02 21:58 | 短消息 资料
字号: 9楼

回复: 另类网马解密



引用:
原帖由 艾玛 于 2009-6-10 14:48:00 发表
页面里有ID
晕,这个都被艾玛发现了
0.电脑安防交流群:79272952
1.下载windows清理助手,升级后清理系统。
  地址:http://download.arswp.com/arswp3/x86/arswp3_x86.zip
2.下载SREng,地址:http://download.kztechs.com/files/sreng2.zip
3.解压后运行SREngLdr.exe---智能扫描---扫描---保存报告。
4.将SREng.log日志文件压缩后上传。。
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT