前言:前段時(shí)間我經(jīng)常在瀏覽17173傳奇專區(qū)時(shí)中木馬,也就相關(guān)話題在WY發(fā)表了帖子.今天我剛在一個(gè)地方看到一位高手就17173上所加載的木馬作了分析,為避免更多玩家受害,特將此帖轉(zhuǎn)載如下,希望大家能夠警惕,畢竟丟號(hào)之痛感同身受!
6月24日,一個(gè)MM叫我找個(gè)外掛,本人從來不喜歡什么網(wǎng)絡(luò)游戲,但是早就聽說www.17173.com這個(gè)站點(diǎn)在游戲上很有名氣,于是很隨意的打開這個(gè)站點(diǎn)。網(wǎng)頁還沒有等完全顯示出來,就彈出一個(gè)對(duì)話窗口,顯示無法打開“"ms-its:mhtml:file://C:\foo.mht!${PATH}/game.chm::/launch.htm”。@。#ぃ溃ぃィさ,這個(gè)不是IE的那個(gè)漏洞么,雖然老外早就公開了這個(gè)利用的方法的代碼,但是至少國內(nèi)還沒公開的工具,補(bǔ)丁在4月13號(hào)已經(jīng)出來了。LLD這么大名氣的站點(diǎn)上怎么放個(gè)木馬,經(jīng)過分析網(wǎng)頁的HTLM文件,發(fā)現(xiàn)他們利用一個(gè)隱藏的匡架網(wǎng)頁,把這個(gè)惡意代碼放在那個(gè)里,這樣不會(huì)在網(wǎng)頁的源文件里顯示太明顯,還不會(huì)因?yàn)橹辛艘院笤?SPAN lang=EN-US>IE
經(jīng)過反匯編,和用16進(jìn)制文本對(duì)EXE木馬進(jìn)行分析,已經(jīng)監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)得到得到接收密碼的地址?吭瓉硎峭祩髌娴哪抉R,經(jīng)過殺毒軟件測(cè)試,目前國內(nèi)3大殺毒軟件都不能查殺 這個(gè)程序里的“(代碼已經(jīng)屏蔽)”這段代碼,經(jīng)過算法還原得到這個(gè)木馬的接收密碼的后臺(tái)http://www.hackerchina.cn/down/mir/mirdat.asp”接著分析一下,靠,還有信箱地址呀?!“17173@chinamir2.com”。
為了避免更多的人受害,我把這個(gè)木馬的2個(gè)發(fā)送密碼的地址公布出來。從反匯編的代碼看,這個(gè)木馬應(yīng)該是DELPHI寫的,代碼十分精巧,絕對(duì)是高手的作品,本人對(duì)此十分佩服,因?yàn)檫@個(gè)代碼能在WIN2000的動(dòng)態(tài)內(nèi)存中獲得傳奇的密碼,級(jí)別,裝備,服務(wù)器等等信息,并且發(fā)送到一個(gè)網(wǎng)絡(luò)空間的ASP后臺(tái)中。具體的分析原理過程比較復(fù)雜,本人不做過多的論述了,在這里只是說
明一個(gè)事實(shí)。以免更多的人受害!
后記:本人在昨晚也中了這個(gè)木馬,此木馬能夠關(guān)閉瑞星及木馬克星,并具有反偵察能力,我更新木馬克星病毒庫后,也不能查殺這個(gè)木馬.瑞星6月22日的病毒播報(bào)中對(duì)該木馬進(jìn)行了描述.大家有興趣可以去瑞星主站看一下.直接搜索svch0st_.exe就可以了.也希望“遼闊”有時(shí)間也能研究一下這個(gè)木馬,要知道我以前就靠木馬克星逃過了N次被洗,如果木馬克星對(duì)此也無能為力,那我也沒得語言啦~