網頁木馬分析
考慮到安全問題,此處在分析木馬的時使用了影子系統,詳情請查看:www.powershadow.com 官方網站下載最新版。
一、網頁快速彈過播放器
首先啟動影子系統並切換到全盤保護模式,然後訪問帶病毒的網址:http://games.enet.com.cn/article/A6720071227003_6.html#showpic,剛發現其網站的游戲資訊部分網頁存在木馬,當訪問http://games.enet.com.cn/article/A6720071227003_6.html#showpic頁面時,浏覽器突然卡住造成頁面停頓,過了一會有一個播放器頁面一閃而過(注:由於太快沒法截圖),但通過查看頁腳發現如下圖一
經驗分析應該是一個JS文件套用的網馬,此時查看源代碼找到其中的JS下載分析,其中:/zhuanti/gallery/includes/showing.js 引起注意。圖二
將其下載下來查看裡面內容如下:圖三
>/p>
二、病毒下載地址源碼
其關鍵在:http://www.loveyoushipin.com//pic//695.htm網址,很顯然 是網馬,此時使用下載軟件把695.htm下載回來 得到源碼如圖四
下載http://www.loveyoushipin.com/14.htm得到源碼如圖五
下載http://www.loveyoushipin.com/web.htm得到源碼如圖六
圖七
三、利用漏洞下載病毒木馬
分析其源代碼得知頁面中包含有多個網頁木馬以及兩個統計鏈接。網頁木馬所利用到的漏洞有: RealPlayer ierpplug.dll ActiveX控件播放列表名稱棧溢出漏洞、系統漏洞 MS06-014、PPStream; PowerPlayer.DLL ActiveX 控件棧溢出漏洞、聯眾ConnectAndEnterRoom ActiveX控件棧溢出漏洞、超星閱覽器Pdg2 ActiveX控件棧溢出漏洞、迅雷ActiveX控件DownURL2方式遠程緩沖區溢出漏洞、Web迅雷 ThunderServer.webThunder.1控件任意文件下載漏洞、百度超級搜霸BaiduBar.dll ActiveX控件遠程代 碼執行漏洞等。當計算機有漏洞的用戶浏覽到被掛馬的頁面後將在後台自動下載木馬並運行,解密後發現下載http://www.loveyoushipin.com/vv.exe文件後,該木馬會連接網絡獲取一個文本文件,並根據其中的地址從mmpp.lovemmll.cn站點下載大量的木馬並運行。其木馬大部分為Trojan-PSW.Win32.OnLineGames家族的木馬,通過巡警的啟發預警功能監聽VV.EXE(下載者)圖八
得出其分別下載:vv0.exe、vv1.exe、vv2.exe、vv3.exe、vv4.exe、vv5.exe、vv6.exe、vv7.exe、vv8.exe、 vv9.exe、vv10.exe、vv11.exe、vv12.exe、vv14.exe、vv15.exe、vv16.exe、vv17.exe、vv18.exe、 vv19.exe、vv20.exe、vv21.exe、xx.exe、vv23.exe等可執行程序,以上木馬運行後將監視用戶系統,竊取用戶的QQ賬 號/網游賬號等,其中一部分木馬還做了免殺處理以逃避殺毒軟件的查殺。
網馬防范
網頁木馬的運行原理利用了IE浏覽器的漏洞,正常情況下只要及時更新系統補丁就可以讓網頁木馬失效了,但是由於現在鑲入IE的插件越來越多,比如:迅雷、百度搜霸 、暴風影音等常用軟件相繼爆出漏洞,因此單單為系統打入補丁是不夠的,還需做好下列兩點:
一、打開系統自動更新功能:右鍵點擊"我的電腦",選擇"屬性",切換到"自動更新"標簽,選中其中的"自動(推薦)"即可 。如圖九
二、清楚多余浏覽器插件:使用金山清理專家清楚多余浏覽器插件,在線系統診斷----浏覽器修復----隱藏所有已知安全項 --勾選所有---點擊修復選擇項如:圖十
圖十一
惡意軟件查殺---惡意軟件---第三方插件----信任插件三項能少則少圖十二
網頁防掛馬選中圖十三
通過以上設置普通用戶完全可以防范絕大多數網馬。
總結:通過以上可看出網頁木馬的危害,大家平時一定要提高自己的安全意識。