| 首页 | 技术文章 | 软件下载 | 博客 | 论坛 | 精品教程 | 黑客动画 | 视频资源 | 在线服务 | 黑客游戏 | 

您现在的位置: 中国X黑客小组 >> 技术文章 >> 编程技术 >> 黑客编程 >> 文章正文 用户登录 新用户注册
  对一刷网站访问量的小马分析          【字体:
对一刷网站访问量的小马分析
作者:混世魔王    文章来源:网络    点击数:    更新时间:2007-1-13    
10 00404FA1 . 8D8D 40FEFFFF LEA ECX,DWORD PTR SS:[EBP-1C0] 00404FA7 . FF15 A8114000 CALL DWORD PTR DS:[<&msvbvm60.__vbaFreeOb>; msvbvm60.__vbaFreeObj 00404FAD . C745 FC 26000>MOV DWORD PTR SS:[EBP-4],26 00404FB4 . 68 F4274000 PUSH Rundll32.004027F4 ; del killme.bat 00404FB9 . 6A 01 PUSH 1 00404FBB . 68 B4274000 PUSH Rundll32.004027B4 00404FC0 . FF15 F8104000 CALL DWORD PTR DS:[<&msvbvm60.__vbaPrintF>; msvbvm60.__vbaPrintFile 00404FC6 . 83C4 0C ADD ESP,0C 00404FC9 . C745 FC 27000>MOV DWORD PTR SS:[EBP-4],27 00404FD0 . 68 18284000 PUSH Rundll32.00402818 ; cls 00404FD5 . 6A 01 PUSH 1 00404FD7 . 68 B4274000 PUSH Rundll32.004027B4 00404FDC . FF15 F8104000 CALL DWORD PTR DS:[<&msvbvm60.__vbaPrintF>; msvbvm60.__vbaPrintFile 00404FE2 . 83C4 0C ADD ESP,0C 00404FE5 . C745 FC 28000>MOV DWORD PTR SS:[EBP-4],28 00404FEC . 68 24284000 PUSH Rundll32.00402824 ; exit 00404FF1 . 6A 01 PUSH 1 00404FF3 . 68 B4274000 PUSH Rundll32.004027B4 00404FF8 . FF15 F8104000 CALL DWORD PTR DS:[<&msvbvm60.__vbaPrintF>; msvbvm60.__vbaPrintFile 00404FFE . 83C4 0C ADD ESP,0C 00405001 . C745 FC 29000>MOV DWORD PTR SS:[EBP-4],29 00405008 . 6A 01 PUSH 1 0040500A . FF15 A4104000 CALL DWORD PTR DS:[<&msvbvm60.__vbaFileCl>; msvbvm60.__vbaFileClose 00405010 . C745 FC 2A000>MOV DWORD PTR SS:[EBP-4],2A 00405017 . 833D A8934000>CMP DWORD PTR DS:[4093A8],0 0040501E . 75 1C JNZ SHORT Rundll32.0040503C 00405020 . 68 A8934000 PUSH Rundll32.004093A8 00405025 . 68 94254000 PUSH Rundll32.00402594
生成批处删记录 

killme.bat

echo off

sleep 100

del rundll322.exe

del killme.bat

cls

exit

简单的写注册表run。 

004046ED   . BA 5C284000   MOV EDX,Rundll32.0040285C

           ; software\microsoft\windows\currentversion\run

004046F2   . 8D8D 08FFFFFF LEA ECX,DWORD PTR SS:[EBP-F8]

004046F8   . FF15 40114000 CALL DWORD PTR DS:[<&msvbvm60.__vbaStrCop>; msvbvm60.__vbaStrCopy

004046FE   . C745 FC 17000>MOV DWORD PTR SS:[EBP-4],17

00404705   . C785 D4FDFFFF>MOV DWORD PTR SS:[EBP-22C],Rundll32.00402>; windir

0040470F   . C785 CCFDFFFF>MOV DWORD PTR SS:[EBP-234],8

00404719   . 8D95 CCFDFFFF LEA EDX,DWORD PTR SS:[EBP-234]

0040471F   . 8D8D 2CFEFFFF LEA ECX,DWORD PTR SS:[EBP-1D4]

00404725   . FF15 6C114000 CALL DWORD PTR DS:[<&msvbvm60.__vbaVarDup>; msvbvm60.__vbaVarDup

0040472B   . 8D95 2CFEFFFF LEA EDX,DWORD PTR SS:[EBP-1D4]

00404731   . 52         PUSH EDX

00404732   . 8D85 1CFEFFFF LEA EAX,DWORD PTR SS:[EBP-1E4]

00404738   . 50         PUSH EAX

00404739   . FF15 60104000 CALL DWORD PTR DS:[<&msvbvm60.rtcEnvironV>; msvbvm60.rtcEnvironVar

0040473F   . C785 C4FDFFFF>MOV DWORD PTR SS:[EBP-23C],Rundll32.00402>; \rundll32.exe

直接给出分析的总结吧。程序只是为了刷访问量,没有什么后门,也就隐藏了URL,用XXXX代理了。

程序运行后,你的电脑会访问 http://www.xxxxxxxx.com/tc/MMResult.asp

看代码 

<HTML><HEAD><TITLE>.</TITLE>

<meta http-equiv="refresh" content="1; url=http://www.xxxx.net"> ‘地址用xxx代替了

</HEAD><BODY>

<script src='http://s47.cnzz.com/stat.php?id=223697&web_id=223697' language='JavaScript'

 charset='gb2312'></script>   ’站长站的流量统计

</BODY></HTML>

把自身复制到c:/windows/,会生成批处删本地目录运行程序。 

killme.bat

echo off

sleep 100

del rundll322.exe

del killme.bat

cls

exit

程序的运行方式是 写注册表 

software\microsoft\windows\currentversion\run

键值rundll32.exe

程序写的不好,要插入进程,那效果会好点。只要把他程序的URL修改一下这个木马就可以自己使用了

上一页  [1] [2] 
文章录入:IceRiver    责任编辑:IceRiver 
  • 上一篇文章:

  • 下一篇文章:
    • 发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口
    最新热点 最新推荐 相关文章
    对一台虚拟主机服务器的渗透
    对一有防火墙机器的渗透
    你bt我更bt--对一台bt主机的
    一次真实的入侵--记对一足球
    对一网站注入过程步骤的实例
    对一有防火墙的机子的渗透
    对一个怪网站的渗透记
    对一个IP只弹出一次窗口
      网友评论:(只显示最新5条。评论内容只代表网友观点,与本站立场无关!)
    Powered by ICE RIVER - STUDIO
    » CnXHacker.CoM   © CopyRight 2002-2006, CnXHacker.CoM™, Inc. All Rights Reserved.