浙江麻将机生产厂家
危險漫步博客
有時候,正是那些意想不到之人,成就了無人能成之事。
文章1443 瀏覽13842281

Malzilla的抓馬行動

這天上網時,無意中打開了一個掛馬的網站,結果電腦不幸中了木馬,我首先想到的就是拔掉網線,以防止木馬再從網上下載別的木馬和病毒。這個木馬應該是做過了免殺處理,我電腦上安裝的殺毒軟件一點兒反應也沒有,這該如何清理呢?干脆就直接抓取隱藏的網馬樣本,然后通過分析其動作來清除病毒吧。思路已經有了,我馬上跑到同事的電腦上開工(我自己的那臺電腦已經中了木馬,自然是不能使用了)。

對于網馬的解密,我使用到了Malzilia這個工具,解密的過程可以分為以下幾步:

1、在“Download”標簽欄下方的“URL”地址欄中輸入那個被掛馬的網址“http://www.xxx.cn/images/2017/log.htm”,然后點擊“Get”按鈕,該腳頁的源碼便會在文本框中顯示出來了,但在源碼中除了幾個可疑的Src地址外,沒有發現其它異常的代碼。

2、獲取Src地址, 我們點擊“Send to Links Parser”標簽欄中就會看到過濾出的Src地址,齊總后面三個是統計流量的地址,所以我們只需要留意前面的那四個網址。

3、按照第1步的操作,依次查看這四個網址的源碼,結果發現“show.jpg”和“shows.jpg”只是起到了產生clsid等善后工作,而網馬的地址就藏在“cqqtemp.css”和“cqqskin.css”文件中。“cqqtemp.css”文件的源碼定義了“vmware_exe="\x25"+"\x75"”,“\x25”和“\x75”為16進制加密形式,我們選中加密的部分并粘貼到“Misc Decoders”欄,點擊右鍵,依次選擇“Run Script”一“Decode Hex”,在彈出的對話框中填入“\x”,然后點擊“OK”進行轉換。

進行16進制轉化后的結果為“vmware_exe="%U"”,這樣一來“cqqskin.css”文件的源碼就變成了代碼中定義“taskmgr_exe”和“Msdos exe”兩個變量,我們使用“unescape”函數對這兩個變量進行解密處理,然后將代碼保存到本地,通過修改代碼來輸出“taskmgr_ exe”和“Msdos_exe”這兩個變量:在頭部對“vmware_exe”進行定義,也就是插入代碼“vmware_exe=”%u””,將代碼“svchost_exe=unescape(taskmgr_exe)”和“svchosts_exe=unescape(Msdos_exe)”中的“unescape”修改為“Document.write”(語言中的輸出語句),最后在文本的頭尾分別加上腳本標簽“<script language="">”和“</script>”,最后保存為Htm文件并運行。

4、我們復制“%u”那一串字符到Malzilla中的“Misc Decoders”欄,點擊“UCS2 To Hex”先轉化成16進制,然后再將這段16進制字符以“Paste as Hex”的形式粘貼到頂部右邊的“Hex”欄中,這樣就得出了下載地址。

至此網馬的地址就全部解密完成了,將網馬下載到本地后我本想使用OD跟蹤一下,但被朋友制止了,他告訴了我一個省時省力的在線分析網站,對樣本進行提交后不一會兒分析結果就出來了。好家伙,動作可真多,映像劫持、新建服務、驅動,比對著分析結果把相應的文件及注冊表值一一刪除后,就把中毒的電腦給搞定了,這次的抓馬行動相信大家們都看懂了吧!

相關推薦

浙江麻将机生产厂家 排九牌大小顺序图片 赌大小单双的技巧规律 足球比分90vs滚球 安卓北京pk10计划软件 谁知道春秋彩票可靠 时时彩互补打法吃差价 谁有龙虎群拉我 二八杠有多少种生死门 重庆时时彩龙虎正规吗 江苏时时开奖结果