1   1  /  1  页   跳转

999宝藏网挂马简要分析

999宝藏网挂马简要分析

中午,一个朋友问我瑞星个人防火墙是不是误操作把999宝藏网(wwwin9.cn)给屏蔽了。他经常去那个坛子,现在每次都得把防火墙关掉才能上去,很麻烦。登陆那个网站看了下,不止瑞星个人防火墙会拦截,安装了卡卡助手,上这个网站的时候也会提示访问的网址可能是一个不良网站。

随即问了相关的同事,告诉我,那个网站确实被挂马,而且之前也被挂过很多次。于是,对那个网站进行了下简单的分析。


1、查看该网站的源代码,引用了几个js脚本,其中有一个是js路径下的global.js。这个脚本全局引用,打开999宝藏网的任何一页都会调用这个脚本。


 附件: 您所在的用户组无法下载或查看附件
2、打开wwwin9.cn/js/global.js文件,可以看到这个脚本又同时调用了几个脚本。其中有一行调用了pw_tag.js文件。


 附件: 您所在的用户组无法下载或查看附件
3、
继续查看这个wwwin9.cn/js/pw_tag.js的代码,可以看到一个高为1iframe引用,应该是比较明显的挂马或带流量广告的迹象。


 附件: 您所在的用户组无法下载或查看附件
xu.html文件里又有一个iframe,引用“ads.html”文件。

4、
查看wwwcnnz8.cn/ads.html,是一个加密的网页。

 附件: 您所在的用户组无法下载或查看附件
把代码最后一句window["\x65\x76\x61\x6c"] (t);改成ss.value=(t),在页面的最前面加<textarea id=ss></textarea>,能够得到解出的页面。

5、
从解出的页面中可以得到几个地址:
http://www360safee.net.cn/1.html
http://www360safee.net.cn/x.html
http://www360safee.net.cn/r.html
http://www360safee.net.cn/nr.html
http://www360safee.net.cn/Baidu.cab

Baidu.cab文件直接就是木马,瑞星报Trojan.Win32.Undef.ggv
1.html下载http://www8yumen.cn/hello.exe,瑞星报Trojan.Win32.Undef.ghz
x.html下载http://wwwchinaz8.cn/hello.exe
r.html 下载 http://wwwchinaz8.cn/hello.exe
nr.html 下载http://wwwchinaz8.cn/hello.exe

几个下载地址下载的文件相同。

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; InfoPath.2; MAXTHON 2.0)
最后编辑流星陨落 最后编辑于 2008-05-16 01:04:13
制兹八拍兮拟排忧,何知曲成兮心转愁
分享到:
gototop
 

回复:999宝藏网挂马简要分析

以上内容为转帖,提供给大家学习
制兹八拍兮拟排忧,何知曲成兮心转愁
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT