转:CSDN社区主页木马感染用户电脑过程分析
此文转自子虚乌有的博客
2007.01.13中午登陆CSDN社区主页的时候,norton报警,当时截了两个图,因为对于网页代码如何下载程序到用户机器执行的过程很感兴趣,于是就对木马分析了一番:
查找CSDN社区主页的源码,发现下面这行挂马的代码:
将里面的http://ujdmk1.chinaw3.com/xx.html下载下来之后一看源码有点懵了,全是乱码
不过还是发现了有用的东西,就是这行“广告”:Bypassing of web filters by using ASCII Exploit By CoolDiyer
google以后发现这个看是全是乱码代码能被IE顺利执行就是利用了IE在处理ASCII是的一个漏洞,这里http://marc.theaimsgroup.com/?l=bugtraq&m=115091980210447&w=2是漏洞原理的介绍,利用这个漏洞处理之后的代码就能穿透现在几乎所有的防火墙……
知道乱码产生的原理之后我们就可以将这些乱码解开了:
还是有些乱七八糟的代码,不过熟悉javascript的朋友应该都熟悉,这不过是一段经过混淆程序混淆以后然后做了escape处理的的javascript脚本,现在我们还原这个脚本的本来面目看看:
到此我们的木马下载过程就可以看得很清楚了,这段代码利用的是MS06-014漏洞,从远程服务器下载木马,然后执行,达到感染的目的。
总结一下:
1、挂马的首先是利用IE的ASCII处理漏洞,将恶意代码中的7bit的ASCII码字符扩展成8位的不可读的“乱码”,逃过杀毒软件以及防火墙的过滤。
2、在IE里,通过利用MS06-014 MDAC漏洞远程下载木马并执行,感染用户电脑。
因此,只要客户端电脑上面的MS06-014漏洞补丁打上了的话是没有问题的,同时也警告各位,鉴于现在互联网上MS06-014漏洞利用程序遍地都是,MS06-014补丁一定要打上,否则随便上网的话会死的很惨的。
另外:这里(MS06-014: msadco.dll 严重漏洞, http://www.playes.net/Blog/421.asp)有一个对MS06-014漏洞检测方法以及打不上补丁电脑的堵漏洞的处理方法,有兴趣的可以参考一下。