前言:前段時間我經常在瀏覽17173傳奇專區時中木馬,也就相關話題在WY發表了帖子.今天我剛在一個地方看到一位高手就17173上所加載的木馬作了分析,為避免更多玩家受害,特將此帖轉載如下,希望大家能夠警惕,畢竟丟號之痛感同身受!
6月24日,一個MM叫我找個外掛,本人從來不喜歡什么網絡游戲,但是早就聽說www.17173.com這個站點在游戲上很有名氣,于是很隨意的打開這個站點。網頁還沒有等完全顯示出來,就彈出一個對話窗口,顯示無法打開“"ms-its:mhtml:file://C:\foo.mht!${PATH}/game.chm::/launch.htm”。@!#¥@¥%¥的,這個不是IE的那個漏洞么,雖然老外早就公開了這個利用的方法的代碼,但是至少國內還沒公開的工具,補丁在4月13號已經出來了。LLD這么大名氣的站點上怎么放個木馬,經過分析網頁的HTLM文件,發現他們利用一個隱藏的匡架網頁,把這個惡意代碼放在那個里,這樣不會在網頁的源文件里顯示太明顯,還不會因為中了以后在IE的標題上顯示木馬的路徑,當時我的第一反應是,這個站點被黑了,靠。中國第一大門戶站點,SOHU的下屬,世界排名23位,訪問量超過了263,平均一天一百多萬人來呀!這樣的站點主頁放了個網頁木馬,還是比較新的IE漏洞,得有多少人受害呀, 本人的好奇心起來了,想看看是什么木馬,于是自己照著路徑直接就把game.chm 下來了。并且在我自己的機器上運行了。馬上顯示了進程svch0st_.exe。仔細一查看,WINNT下多了“svch0st_.exe”和“lsas.bmp”2個文件,看來一個是顯示進程的EXE另一個是DLL插入線程用的。通過端口分析這個找到了這個木馬放到外面數據的IP“61.129.50.82”。而且對方接受數據的是80端口,PING一下IP看看返回的TTL,應該是WIN系統,看來這個木馬得到的數據發到這個機器上的一個ASP程序中。
經過反匯編,和用16進制文本對EXE木馬進行分析,已經監聽網絡數據得到得到接收密碼的地址。靠原來是偷傳奇的木馬,經過殺毒軟件測試,目前國內3大殺毒軟件都不能查殺 這個程序里的“(代碼已經屏蔽)”這段代碼,經過算法還原得到這個木馬的接收密碼的后臺http://www.hackerchina.cn/down/mir/mirdat.asp”接著分析一下,靠,還有信箱地址呀?!“17173@chinamir2.com”。
為了避免更多的人受害,我把這個木馬的2個發送密碼的地址公布出來。從反匯編的代碼看,這個木馬應該是DELPHI寫的,代碼十分精巧,絕對是高手的作品,本人對此十分佩服,因為這個代碼能在WIN2000的動態內存中獲得傳奇的密碼,級別,裝備,服務器等等信息,并且發送到一個網絡空間的ASP后臺中。具體的分析原理過程比較復雜,本人不做過多的論述了,在這里只是說
明一個事實。以免更多的人受害!
后記:本人在昨晚也中了這個木馬,此木馬能夠關閉瑞星及木馬克星,并具有反偵察能力,我更新木馬克星病毒庫后,也不能查殺這個木馬.瑞星6月22日的病毒播報中對該木馬進行了描述.大家有興趣可以去瑞星主站看一下.直接搜索svch0st_.exe就可以了.也希望“遼闊”有時間也能研究一下這個木馬,要知道我以前就靠木馬克星逃過了N次被洗,如果木馬克星對此也無能為力,那我也沒得語言啦~
