20CN网络安全小组论坛 - 病毒专区 - “http://www.17173.com”主页发现传奇木马，以及木马分析

论坛: 病毒专区标题: “http://www.17173.com”主页发现传奇木马，以及木马分析

作者: sfyx [sfyx]

论坛用户

“http://www.17173.com”主页发现传奇木马，以及木马分析

6月24日，一个MM叫我找个外挂，本人从来不喜欢什么网络游戏，但是早就听说www.17173.com这个站点在游戏上很有名气，于是

很随意的打开这个站点。网页还没有等完全显示出来，就弹出一个对话窗口，显示无法打开“"ms-its:mhtml:file://C:\f

oo.mht!${PATH}/game.chm::/launch.htm”。我日的，这个不是IE的那个漏洞么，虽然老外早就公开了这个利用的方法的代码，

但是至少国内还没公开的工具，补丁在4月13号已经出来了。LLD这么大名气的站点上怎么放个木马，经过分析网页的HTLM文件，

发现他们利用一个隐藏的匡架网页，把这个恶意代码放在那个里，这样不会在网页的源文件里显示太明显，还不会因为中了以后

在IE的标题上显示木马的路径，当时我的第一反应是，这个站点被黑了，靠。。中国第一大门户站点，SOHU的下属，世界排名23

位，访问量超过了263平均一天一百多万人来呀！这样的站点主页放了个网页木马，还是比较新的IE漏洞，得有多少人受害呀，

于是我抓起电话给这个站点打了过去告诉他们主页有木马，但是电话那边明显反应迟钝。

本人的好奇心起来了，想看看是什么木马，于是自己照着路径直接就把game.chm 下来了。并且在我自己的机器上运行了。

马上显示了进程svch0st_.exe。仔细一查看，WINNT下多了“svch0st_.exe”和“lsas.bmp”2个文件，看来一个是显示进程的EX

E另一个是DLL插入线程用的。通过端口分析这个找到了这个木马放到外面数据的IP“61.129.50.82”。而且对方接受数据的是80

端口，PING一下IP看看返回的TTL，应该是WIN系统，看来这个木马得到的数据发到这个机器上的一个ASP程序中。经过反汇编，

和用16进制文本对EXE木马进行分析，已经监听网络数据得到得到接收密码的地址。靠原来是偷传奇的木马，经过杀毒软件测试

，目前国内3大杀毒软件都不能查杀！这个程序里的“0612120ED8CDCD151515CC06FF010903100106070CFFCC010CCD020D150CCD0B0

710CD010D0D0BCCFF110EABCFD5CFD5D1DE0106070CFF0B0710D0CC010D0B”这段代码，经过算法还原得到这个木马的接收密码的后

台“http://www.hackerchina.cn/down/mir/mirdat.asp”接着分析一下，靠还有信箱地址呀？！“17173@chinamir2.com”。
为了避免更多的人受害，我把这个木马的2个发送密码的地址公布出来。从反汇编的代码看，这个木马应该是DELPHI写的，代码

十分精巧，绝对是高手的作品，本人对此十分佩服，因为这个代码能在WIN2000的动态内存中获得传奇的密码，级别，装备，服

务器等等信息，并且发送到一个网络空间的ASP后台中。具体的分析原理过程比较复杂，本人不做过多的论述了，在这里只是说

明一个事实。以免更多的人受害！

本人都分析完毕了，打开www.17173.com一看，靠！木马依旧呀。本人对“www.17173.com”的服务器和“http://www.hackerchi

na.cn”的2个服务器进行了一下安全测试，感觉能靠系统漏洞黑进去的可能性十分的小，但是为什么这么大的站点的主页能有这

个木马呢？我不敢说是他们内部人做的，但是很值得怀疑。

本人已经把分析过程和这个木马的样本报告给KV3000了，在这里把这个事情公布出来，以免更多人上当。访问站点千万要小

心，连这么大的站点都没有信誉，在主页上放木马，我们还能相信谁？本人不玩什么游戏中了也就算了，至少还能有能力查一下

，但是这个木马真正害多少人，不得而知了，在这里提醒那些到过这个站点的人，注意你们的密码！

本人QQ：15188806 欢迎技术交流

地主发表时间: 04-06-25 22:06