某网页挂马分析

   前记

       这是很早之前分析的网页挂马案例，我当时分析的也很细致。最近在整理文档时发现了它，这篇文章正好能展示出病毒从网页挂马到本机运行的完整流程，感觉还是有分享的价值的。

       20XX年X月XX日，XXX发现，XXX网（http://www.XXXXX.cn/）被攻击者植入网页木马，含有漏洞的用户系统如果访问该页面，会自动从恶意网站下载恶意程序并运行，恶意程序可能会破坏用户系统、窃取用户敏感信息、远程控制用户系统等。

     XXXXX网网站被挂马页面：

                    

     挂马层次结构：

[root]http://www.XXXXX.cn/
        [script]http://ajax.googleapis.com/ajax/libs/jquery/1.2.6/jquery.min.js
        [iframe]http://www.garden.sh.cn/frame/top.aspx
        [iframe]http://www.garden.sh.cn/frame/inav.aspx
        [iframe]http://www.garden.sh.cn/frame/topads.htm
               [flash]http://www.garden.sh.cn/frame/../images/6.swf
        [iframe]http://www.garden.sh.cn/frame/focuspic.aspx
               [script]http://www.garden.sh.cn/frame/../js/foucspic_show.js
        [iframe]http://www.garden.sh.cn/frame/foot.aspx
        [script]http://aoyun.chickenkiller.com:10086/images/1.gif
               [iframe]http://jajss.ignorelist.com:10/images/error.htm
                      [iframe]http://jajss.ignorelist.com:10/images/3.htm(CVE-2012-003)
                             [virus]http://1.jk136.com:123/js/js/js.js
                      [iframe]http://jajss.ignorelist.com:10/images/3.htm(Exploit.IeCVE0806)

                             [virus]http://1.jk136.com:123/js/js/js.js 

    此网页木马利用以下漏洞进行传播：

CVE-2010-0806漏洞

CVE-2012-003 漏洞

    当用户访问挂马网站，系统会自动下载病毒文件：

1. 网页木马直接下载的病毒文件：

      http://1.jk136.com:123/js/js/js.js 病毒名：Trojan/Win32. Agent.tozj[Downloader]
      描述：“下载者”木马。病毒运行后，衍生多个文件到系统目录下；修改创建注册表值使之文件隐藏、更改主页         地址、更改选项使用户无法改回主页，添加“IFEO”劫持多款杀毒软件、注册表、安全工具等；然后通过连接网       址下载文件count.exe，从此文件获取下载列表。然后下载恶意文件到本机执行。
      衍生文件：
      c:\WINDOWS\Qedie\conime.exe（样本复制自身后写入一些空字符，以改变文件的大小）

2．读取列表下载地址：

      http://text.jk136.com:123/js/js/count.exe

3．由下载者木马下载的其他病毒文件：

      http://text.jk136.com:123/js/js/1d.exe                    

      病毒名：

Trojan/Win32.antavka.ata

      病毒描述：

QQ盗号木马。运行后删除自身，修改注册表使文件属性为隐藏且用户无法修改、添加启动项、添       加“IFEO”劫持多款杀毒软件、注册表、安全工具等。隐藏系统下的system32目录，并向其释放大量恶意文             件。

     衍生文件：

c:\autorun.inf
       内容为：

       [AutoRun]
       shell\open=打开(&O)
       shell\open\Command=w3wp.exe
       shell\open\Default=1
       shell\explore=资源管理器(&X)
       shell\explore\Command=w3wp.exe
       其目的是当用户点击打开磁盘或资源管理器时都执行w3wp.exe
c:\w3wp.exe
c:\WINDOWS\system32\pagefile.exe
c:\WINDOWS\system32\pagefile.inf
c:\WINDOWS\system32\w3wp.exe

      http://text.jk136.com:123/js/js/2y.exe                     

      病毒名：

Trojan/Win32.Bjlog.stt[Stealer]

      病毒描述：

此病毒为后门类程序，当运行在用户机器上是会监控用户行为盗取账号密码等敏感信息。并把衍生的文件注入到svchost.exe中。

      衍生文件：

c:\Documents and Settings\Administrator\btbtidopqe
c:\Documents and Settings\All Users\Application Data\Storm\update\%SESSIONNAME%\ dgbcu.cc3
c:\WINDOWS\system32\ e22a4301.rdb

      http://text.jk136.com:123/js/js/3t.exe                    

      病毒名：

Trojan/Win32.delf.acc[downloader]

      病毒描述：

“下载者”木马

      衍生文件：

c:\WINDOWS\QQSAFER.exe（文件复制自身到此目录）

      http://bbs.jk136.com:10/js/js/4i.exe                       

      病毒名：

Trojan/Win32.delf.aqt[downloader]

      病毒描述：

广告类程序。文件添加注册表项自启动，篡改浏览器主页，并修改注册表项使之无法改回主页

      衍生文件：

c:\Program Files\Common Files\Microsoft Shared\MSInfo\iejore.exe（复制自身到此目录）
c:\Documents and Settings\Administrator\Favorites\百度一下.url
c:\Documents and Settings\Administrator\「开始」菜单\百度一下.url
c:\Documents and Settings\Administrator\桌面\百度一下.url

      http://text.jk136.com:123/js/js/5c.exe                    

      病毒名：

Backdoor/Win32.Delf.yqo

      病毒描述：

后门程序。运行后主动连接到广告网站。

      衍生文件：

C:\WINDOWS\system32\tccj.dll

      http://text.jk136.com:123/js/js/6h.exe                    

      病毒名：

Trojan/Win32.chifrax.bfn

      病毒描述：

修改host文件劫持URL的木马程序。其程序会对用户host文件进行操作，添加大量安全厂商网址并将其域名映射到本机IP起到屏蔽网址的作用，之后又添加大量常用网址将其域名映射到IP 61.151.253.45，起到刷广告的目的。

      衍生文件：

C:\WINDOWS\system32\drivers\etc\hosts