前言：前段時(shí)間我經(jīng)常在瀏覽17173傳奇專區(qū)時(shí)中木馬,也就相關(guān)話題在WY發(fā)表了帖子.今天我剛在一個(gè)地方看到一位高手就17173上所加載的木馬作了分析,為避免更多玩家受害,特將此帖轉(zhuǎn)載如下,希望大家能夠警惕,畢竟丟號(hào)之痛感同身受!

　　6月24日，一個(gè)MM叫我找個(gè)外掛，本人從來不喜歡什么網(wǎng)絡(luò)游戲，但是早就聽說www.17173.com這個(gè)站點(diǎn)在游戲上很有名氣，于是很隨意的打開這個(gè)站點(diǎn)。網(wǎng)頁還沒有等完全顯示出來，就彈出一個(gè)對(duì)話窗口，顯示無法打開“"ms-its:mhtml:file://C:\foo.mht!${PATH}/game.chm::/launch.htm”。＠�。＃ぃ溃ぃィさ�，這個(gè)不是IE的那個(gè)漏洞么，雖然老外早就公開了這個(gè)利用的方法的代碼，但是至少國內(nèi)還沒公開的工具，補(bǔ)丁在4月13號(hào)已經(jīng)出來了。LLD這么大名氣的站點(diǎn)上怎么放個(gè)木馬，經(jīng)過分析網(wǎng)頁的HTLM文件，發(fā)現(xiàn)他們利用一個(gè)隱藏的匡架網(wǎng)頁，把這個(gè)惡意代碼放在那個(gè)里，這樣不會(huì)在網(wǎng)頁的源文件里顯示太明顯，還不會(huì)因?yàn)橹辛艘院笤?SPAN lang=EN-US>IE的標(biāo)題上顯示木馬的路徑，當(dāng)時(shí)我的第一反應(yīng)是，這個(gè)站點(diǎn)被黑了，靠。中國第一大門戶站點(diǎn)，SOHU的下屬，世界排名23位，訪問量超過了263，平均一天一百多萬人來呀！這樣的站點(diǎn)主頁放了個(gè)網(wǎng)頁木馬，還是比較新的IE漏洞，得有多少人受害呀， 本人的好奇心起來了，想看看是什么木馬，于是自己照著路徑直接就把game.chm 下來了。并且在我自己的機(jī)器上運(yùn)行了。馬上顯示了進(jìn)程svch0st_.exe。仔細(xì)一查看，WINNT下多了“svch0st_.exe”和“l(fā)sas.bmp”2個(gè)文件，看來一個(gè)是顯示進(jìn)程的EXE另一個(gè)是DLL插入線程用的。通過端口分析這個(gè)找到了這個(gè)木馬放到外面數(shù)據(jù)的IP“61.129.50.82”。而且對(duì)方接受數(shù)據(jù)的是80端口，PING一下IP看看返回的TTL，應(yīng)該是WIN系統(tǒng)，看來這個(gè)木馬得到的數(shù)據(jù)發(fā)到這個(gè)機(jī)器上的一個(gè)ASP程序中。

　　經(jīng)過反匯編，和用16進(jìn)制文本對(duì)EXE木馬進(jìn)行分析，已經(jīng)監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)得到得到接收密碼的地址�？吭瓉硎峭祩髌娴哪抉R，經(jīng)過殺毒軟件測(cè)試，目前國內(nèi)3大殺毒軟件都不能查殺 這個(gè)程序里的“（代碼已經(jīng)屏蔽）”這段代碼，經(jīng)過算法還原得到這個(gè)木馬的接收密碼的后臺(tái)http://www.hackerchina.cn/down/mir/mirdat.asp”接著分析一下，靠，還有信箱地址呀？！“17173@chinamir2.com”。

　　為了避免更多的人受害，我把這個(gè)木馬的2個(gè)發(fā)送密碼的地址公布出來。從反匯編的代碼看，這個(gè)木馬應(yīng)該是DELPHI寫的，代碼十分精巧，絕對(duì)是高手的作品，本人對(duì)此十分佩服，因?yàn)檫@個(gè)代碼能在WIN2000的動(dòng)態(tài)內(nèi)存中獲得傳奇的密碼，級(jí)別，裝備，服務(wù)器等等信息，并且發(fā)送到一個(gè)網(wǎng)絡(luò)空間的ASP后臺(tái)中。具體的分析原理過程比較復(fù)雜，本人不做過多的論述了，在這里只是說
明一個(gè)事實(shí)。以免更多的人受害！

　　后記：本人在昨晚也中了這個(gè)木馬,此木馬能夠關(guān)閉瑞星及木馬克星,并具有反偵察能力,我更新木馬克星病毒庫后,也不能查殺這個(gè)木馬.瑞星6月22日的病毒播報(bào)中對(duì)該木馬進(jìn)行了描述.大家有興趣可以去瑞星主站看一下.直接搜索svch0st_.exe就可以了.也希望“遼闊”有時(shí)間也能研究一下這個(gè)木馬,要知道我以前就靠木馬克星逃過了N次被洗,如果木馬克星對(duì)此也無能為力,那我也沒得語言啦~