前言:前段时间我经常在浏览17173传奇专区时中木马,也就相关话题在WY发表了帖子.今天我刚在一个地方看到一位高手就17173上所加载的木马作了分析,为避免更多玩家受害,特将此帖转载如下,希望大家能够警惕,毕竟丢号之痛感同身受!
6月24日,一个MM叫我找个外挂,本人从来不喜欢什么网络游戏,但是早就听说www.17173.com这个站点在游戏上很有名气,于是很随意的打开这个站点。网页还没有等完全显示出来,就弹出一个对话窗口,显示无法打开“"ms-its:mhtml:file://C:\foo.mht!${PATH}/game.chm::/launch.htm”。@!#¥@¥%¥的,这个不是IE的那个漏洞么,虽然老外早就公开了这个利用的方法的代码,但是至少国内还没公开的工具,补丁在4月13号已经出来了。LLD这么大名气的站点上怎么放个木马,经过分析网页的HTLM文件,发现他们利用一个隐藏的匡架网页,把这个恶意代码放在那个里,这样不会在网页的源文件里显示太明显,还不会因为中了以后在IE的标题上显示木马的路径,当时我的第一反应是,这个站点被黑了,靠。中国第一大门户站点,SOHU的下属,世界排名23位,访问量超过了263,平均一天一百多万人来呀!这样的站点主页放了个网页木马,还是比较新的IE漏洞,得有多少人受害呀, 本人的好奇心起来了,想看看是什么木马,于是自己照着路径直接就把game.chm 下来了。并且在我自己的机器上运行了。马上显示了进程svch0st_.exe。仔细一查看,WINNT下多了“svch0st_.exe”和“lsas.bmp”2个文件,看来一个是显示进程的EXE另一个是DLL插入线程用的。通过端口分析这个找到了这个木马放到外面数据的IP“61.129.50.82”。而且对方接受数据的是80端口,PING一下IP看看返回的TTL,应该是WIN系统,看来这个木马得到的数据发到这个机器上的一个ASP程序中。
经过反汇编,和用16进制文本对EXE木马进行分析,已经监听网络数据得到得到接收密码的地址。靠原来是偷传奇的木马,经过杀毒软件测试,目前国内3大杀毒软件都不能查杀 这个程序里的“(代码已经屏蔽)”这段代码,经过算法还原得到这个木马的接收密码的后台http://www.hackerchina.cn/down/mir/mirdat.asp”接着分析一下,靠,还有信箱地址呀?!“17173@chinamir2.com”。
为了避免更多的人受害,我把这个木马的2个发送密码的地址公布出来。从反汇编的代码看,这个木马应该是DELPHI写的,代码十分精巧,绝对是高手的作品,本人对此十分佩服,因为这个代码能在WIN2000的动态内存中获得传奇的密码,级别,装备,服务器等等信息,并且发送到一个网络空间的ASP后台中。具体的分析原理过程比较复杂,本人不做过多的论述了,在这里只是说
明一个事实。以免更多的人受害!
后记:本人在昨晚也中了这个木马,此木马能够关闭瑞星及木马克星,并具有反侦察能力,我更新木马克星病毒库后,也不能查杀这个木马.瑞星6月22日的病毒播报中对该木马进行了描述.大家有兴趣可以去瑞星主站看一下.直接搜索svch0st_.exe就可以了.也希望“辽阔”有时间也能研究一下这个木马,要知道我以前就靠木马克星逃过了N次被洗,如果木马克星对此也无能为力,那我也没得语言啦~