瑞星卡卡安全论坛

首页 » 技术交流区 » 恶意网站交流 » 另类网马解密

networkedition - 2009-6-10 13:47:00

今天讲解的这个网马解密，是昨天在每日播报中的一个网址(eyeni.ys168.com),这个应该是个人的永硕E盘。"另类"是指这个恶意网址用freshow、redoce等工具无法找到，但直接访问这个网址，瑞星全功能安全软件有拦截，说明此网站应该含有恶意代码。以下为杀毒软件所报内容：

引用:

漏洞对象名处理结果发现日期病毒来源访问染毒文件的进程文件
risks.url(ignored) 直接运行 2009-06-09 21:43:49 "C:\Program Files\Internet Explorer\iexplore.exe" http://eyeni.ys168.com/
microsoft.xmlhttp 直接拒绝 2009-06-09 21:43:49 "C:\Program Files\Internet Explorer\iexplore.exe" http://ys-C.ys168.com/?home.txt_4s7bso7d7ejs7bs1btrrooll0co7bktm4bp0bsl2btl5bu1u20f16z

实际上这个网马解密，最后是通过杀毒软件所报链接地址，反查网站源代码后才解密出来的。下面来详细讲解一下：

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)

networkedition - 2009-6-10 13:55:00

我们先来看一下杀毒软件所报链接地址： hxxp://ys-c.ys168.com/?home.txt_4s7bso7d7ejs7bs1btrrooll0co7bktm4bp0bsl2btl5bu1u20f16z，看看这个源文件内容是什么，使用freshow来查看一下网站源文件内容（见下列截图）：

networkedition - 2009-6-10 14:00:00

大家应该还记得，前几期的网马解密教程中，有讲解过US-ASCII解密方法，freshow解密选项选择：US-ASCII，直接decode，还是来看一下截图吧：

networkedition - 2009-6-10 14:07:00

这个网马地址今天下载并未失效，瑞星杀毒软件报：Trojan.Win32.Delf.fml。以上是我们通过杀毒软件所报链接地址，通过freshow查看源文件内容，才将此网马解密出来。说明此网站的确是被挂马，下面我们就通过工具来查看具体链接地址。

上图为freshow检查各个链接地址，均为发现杀毒软件所报链接地址。

networkedition - 2009-6-10 14:25:00

在这里我们用到另外一个解密工具，这个工具主要是针对freshow、redoce、神器等网马解密工具，无法找到恶意链接地址，而实际网站存在恶意链接地址。这个工具叫：网页源代码查看分析器，我们通过这个工具直接查看网站源代码，经过仔细分析才找到该恶意链接地址,详见下列截图：

networkedition - 2009-6-10 14:36:00

实际这个网站有多处被挂马，所挂链接均为1.exe。通过这个实例的讲解，也想让大家了解，解密工具实际上并不是万能的，对于这种另类的网马，就需要其他非常手段了。:kaka12:

艾玛 - 2009-6-10 14:48:00

:kaka6: 页面里有ID

kekao - 2009-6-11 12:37:00

这个站挂马能在浏览器中运行吗?
:kaka6:
在其它链接中加入应该会有效果.在这个网站直接挂马可以利用<script>

於陵闲云 - 2009-7-2 21:58:00

引用:

原帖由艾玛于 2009-6-10 14:48:00 发表
:kaka6: 页面里有ID

晕，这个都被艾玛发现了:kaka15:

1

查看完整版本: 另类网马解密

© 2000 - 2024 Rising Corp. Ltd.