前言:前段时间我经常在浏览17173传奇专区时中木马,也就相关话题在WY发表了帖子.今天我刚在一个地方看到一位高手就17173上所加载的木马作了分析,为避免更多玩家受害,特将此帖转载如下,希望大家能够警惕,毕竟丢号之痛感同身受!
6月24日,一个MM叫我找个外挂,本人从来不喜欢什么网络游戏,但是早就听说www.17173.com这个站点在游戏上很有名气,于是很随意的打开这个站点。网页还没有等完全显示出来,就弹出一个对话窗口,显示无法打开“"ms-its:mhtml:file://C:\foo.mht!${PATH}/game.chm::/launch.htm”。的,这个不是IE的那个漏洞么,虽然老外早就公开了这个利用的方法的代码,但是至少国内还没公开的工具,补丁在4月13号已经出来了。LLD这么大名气的站点上怎么放个木马,经过分析网页的HTLM文件,发现他们利用一个隐藏的匡架网页,把这个恶意代码放在那个里,这样不会在网页的源文件里显示太明显,还不会因为中了以后在IE的标题上显示木马的路径,当时我的第一反应是,这个站点被黑了,X。。中国第一大门户站点,SOHU的下属,世界排名23位,访问量超过了263平均一天一百多万人来呀!这样的站点主页放了个网页木马,还是比较新的IE漏洞,得有多少人受害呀,
本人的好奇心起来了,想看看是什么木马,于是自己照着路径直接就把game.chm 下来了。并且在我自己的机器上运行了。马上显示了进程svch0st_.exe。仔细一查看,WINNT下多了“svch0st_.exe”和“lsas.bmp”2个文件,看来一个是显示进程的EXE另一个是DLL插入线程用的。通过端口分析这个找到了这个木马放到外面数据的IP“61.129.50.82”。而且对方接受数据的是80端口,PING一下IP看看返回的TTL,应该是WIN系统,看来这个木马得到的数据发到这个机器上的一个ASP程序中。经过反汇编,和用16进制文本对EXE木马进行分析,已经监听网络数据得到得到接收密码的地址。X原来是偷传奇的木马,经过杀毒软件测试,目前国内3大杀毒软件都不能查杀 这个程序里的“0612120ED8CDCD151515CC06FF010903100106070CFFCC010CCD020D150CCD0B0710CD010D0D0BCCFF110EABCFD5CFD5D1DE0106070CFF0B0710D0CC010D0B”这段代码,经过算法还原得到这个木马的接收密码的后台“http://www.hackerchina.cn/down/mir/mirdat.asp”接着分析一下,X还有信箱地址呀?!“17173@chinamir2.com”。
为了避免更多的人受害,我把这个木马的2个发送密码的地址公布出来。从反汇编的代码看,这个木马应该是DELPHI写的,代码十分精巧,绝对是高手的作品,本人对此十分佩服,因为这个代码能在WIN2000的动态内存中获得传奇的密码,级别,装备,服务器等等信息,并且发送到一个网络空间的ASP后台中。具体的分析原理过程比较复杂,本人不做过多的论述了,在这里只是说
明一个事实。以免更多的人受害!
后记:本人在昨晚也中了这个木马,此木马能够关闭瑞星及木马克星,并具有反侦察能力,我更新木马克星病毒库后,也不能查杀这个木马.瑞星6月22日的病毒播报中对该木马进行了描述.大家有兴趣可以去瑞星主站看一下.直接搜索svch0st_.exe就可以了.也希望辽阔有时间也能研究一下这个木马,要知道我以前就X木马克星逃过了N次被洗,如果木马克星对此也无能为力,那我也没得语言啦~
我是昨天下午看17173时中的这个木马,当时不知道,挂着机就逛街去了,晚上11点回来,发现电脑上没有了瑞星和木马克星的标志,心里惊一下,知道不对进了,马上查看进程,看到有svch0st_.exe,立刻结束.然后打开木马克星查毒,结果没问题.
但当时心里还是放心不下,就叫传奇上一个朋友帮我改了密码.结果....今天早上刚开电脑,发现开机运行的瑞星和木马克星没启动,就手动启动了克星,但它只闪了一下就不见了.然后又发现了svch0st_.exe这个进程.知道中招了,马上去查了瑞星反病毒资讯,结果发现是个传奇盗号木马.按步骤清除之.最后去各大论坛闲逛,结果看到了一篇关于17173上木马分析的帖子,就转过来给大家瞧瞧啦~
|
版主
论坛用户
论坛用户
论坛用户
论坛用户
论坛: 菜鸟乐园 标题: 【转贴】17173被黑内幕[IE漏洞利用导致木马传播]