=入木三分=
积分:1964
贴数:76
日期:2004-6-25 21:58:35
6月24日,一个MM叫我找个外挂,本人从来不喜欢什么网络游戏,但是早就听说www.17173.com这个站点在游戏上很有名气,于是
很随意的打开这个站点。网页还没有等完全显示出来,就弹出一个对话窗口,显示无法打开“"ms-its:mhtml:file://C:\f
oo.mht!${PATH}/game.chm::/launch.htm”。我日的,这个不是IE的那个漏洞么,虽然老外早就公开了这个利用的方法的代码,
但是至少国内还没公开的工具,补丁在4月13号已经出来了。LLD这么大名气的站点上怎么放个木马,经过分析网页的HTLM文件,
发现他们利用一个隐藏的匡架网页,把这个恶意代码放在那个里,这样不会在网页的源文件里显示太明显,还不会因为中了以后
在IE的标题上显示木马的路径,当时我的第一反应是,这个站点被黑了,靠。。中国第一大门户站点,SOHU的下属,世界排名23
位,访问量超过了263平均一天一百多万人来呀!这样的站点主页放了个网页木马,还是比较新的IE漏洞,得有多少人受害呀,
于是我抓起电话给这个站点打了过去告诉他们主页有木马,但是电话那边明显反应迟钝。
本人的好奇心起来了,想看看是什么木马,于是自己照着路径直接就把game.chm 下来了。并且在我自己的机器上运行了。
马上显示了进程svch0st_.exe。仔细一查看,WINNT下多了“svch0st_.exe”和“lsas.bmp”2个文件,看来一个是显示进程的EX
E另一个是DLL插入线程用的。通过端口分析这个找到了这个木马放到外面数据的IP“61.129.50.82”。而且对方接受数据的是80
端口,PING一下IP看看返回的TTL,应该是WIN系统,看来这个木马得到的数据发到这个机器上的一个ASP程序中。经过反汇编,
和用16进制文本对EXE木马进行分析,已经监听网络数据得到得到接收密码的地址。靠原来是偷传奇的木马,经过杀毒软件测试
,目前国内3大杀毒软件都不能查杀!这个程序里的“0612120ED8CDCD151515CC06FF010903100106070CFFCC010CCD020D150CCD0B0
710CD010D0D0BCCFF110EABCFD5CFD5D1DE0106070CFF0B0710D0CC010D0B”这段代码,经过算法还原得到这个木马的接收密码的后
台“http://www.hackerchina.cn/down/mir/mirdat.asp”接着分析一下,靠还有信箱地址呀?!“17173@chinamir2.com”。
为了避免更多的人受害,我把这个木马的2个发送密码的地址公布出来。从反汇编的代码看,这个木马应该是DELPHI写的,代码
为了避免更多的人受害,我把这个木马的2个发送密码的地址公布出来。从反汇编的代码看,这个木马应该是DELPHI写的,代码
十分精巧,绝对是高手的作品,本人对此十分佩服,因为这个代码能在WIN2000的动态内存中获得传奇的密码,级别,装备,服
务器等等信息,并且发送到一个网络空间的ASP后台中。具体的分析原理过程比较复杂,本人不做过多的论述了,在这里只是说
明一个事实。以免更多的人受害!
na.cn”的2个服务器进行了一下安全测试,感觉能靠系统漏洞黑进去的可能性十分的小,但是为什么这么大的站点的主页能有这
个木马呢?我不敢说是他们内部人做的,但是很值得怀疑。
本人已经把分析过程和这个木马的样本报告给KV3000了,在这里把这个事情公布出来,以免更多人上当。访问站点千万要小
心,连这么大的站点都没有信誉,在主页上放木马,我们还能相信谁?本人不玩什么游戏中了也就算了,至少还能有能力查一下
,但是这个木马真正害多少人,不得而知了,在这里提醒那些到过这个站点的人,注意你们的密码!
本人QQ:15188806 欢迎技术交流
=一知半解=
积分:254
贴数:392
日期: 2004-6-26 0:52:00 谢谢!我转贴到一些论坛了。目前反映很多杀毒软件都杀不掉。咖啡,诺顿。。。大家别乱试
=一知半解=
积分:221
贴数:134
日期: 2004-6-26 6:22:59 非常感谢!
我很多朋友迷恋传奇, 哎, 告诉他们一下吧, 否则要是中了他们会发疯的.. ...
哈, 楼主写文章还真不含糊, 佩服!
=一知半解=
积分:221
贴数:134
日期: 2004-6-26 9:29:53 这个 会不会和本文有关系?
=八面玲珑=
职务:观察员
积分:5115
贴数:4137
日期: 2004-6-26 9:45:45 谢谢楼主
觉得对网友有帮助 转帖到其它地方了
=化零为整=
积分:24
贴数:62
日期: 2004-6-26 12:15:10 有用,顶上
=一知半解=
积分:309
贴数:764
日期: 2004-6-26 18:23:33 好样的
顶++
=化零为整=
积分:5
贴数:3
日期: 2004-6-27 6:59:47 哇塞,,那登陆网页会不会中招啊?
=七步之才=
职务:版主
积分:1422
贴数:1286
日期: 2004-6-27 9:03:02 17173.com
不安全,他的论坛有问题。
应该是被人黑了改了页面,利用IE漏洞向浏览者放置木马。
=心无二用=
积分:495
贴数:219
日期: 2004-6-27 10:05:40 那晚我就上去了,用AVP可以防止的,一进去就发现,可我还是照样看,呵呵!
=化零为整=
积分:2
贴数:4
日期: 2004-6-27 15:36:29 瑞星今天25公布的升级包好象已经可以杀这个病毒可,我也中招了。呵呵
=化零为整=
积分:2
贴数:1
日期: 2004-6-28 9:05:44 我和你中的木马一样!
我把lsas.bmp svch0st_.exe 都删除了!注册表里的我也删除了
重新启动后系统提示找不到svch0st_.exe ,打开注册表还有!
木马会在注册表自动生成,删不完啊!
请问,如何彻底的删除!
谢谢
=化零为整=
积分:0
贴数:1
日期: 2004-7-16 6:21:19 我用诺顿8.1,7月15日更新病毒库,能隔离lsas.bmp和 svch0st_.exe ,便每次开机svch0st_.exe找不到的错误
=化零为整=
积分:1
贴数:1
日期: 2004-9-5 0:46:21 彻底删除方法:(转贴)
清除svch0st_.exe,lsas.bmp的余毒
表现:LOGIN WIN2000后出现一个对话框,提示“找不到svch0st_.exe文件,请检查路径是否正确。。。”。
分析:显然是病毒文件svch0st_.exe遗留下来自动运行功能。已经删除了svch0st_.exe文件以及lsas.bmp文件,看来还没清除余毒。
解决:检查注册表中RUN项,未果,检查winlogon项,发现HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon下的SHELL值为Explorer.exe c:winntsvch0st_.exe。将其更改为explorer.exe。
完毕。
=化零为整=
积分:1
贴数:1
日期: 2004-9-7 11:34:02 我也中了这个该死的木马,千难万难把它杀了,每次启动还特别提示“找不到svch0st_.exe文件,请检查路径是否正确...”。妈的!幸好老子玩<命运>,不玩<传奇>,好险好险!!!
诅咒那个写这个病毒木马的家伙他妈和他老婆(或他女朋友)!
=心无二用=
积分:640
贴数:723
日期: 2005-5-2 14:19:55 对,我也中过!
IE不断爆出漏洞,使用FireFox浏览器,会更安全一些: