Virus 版 (精华区)

发信人: Lerry (life is waiting...), 信区: Virus
标  题: 病毒提示(转载)
发信站: 哈工大紫丁香 (Tue Jun 29 00:46:21 2004), 站内

近日发现一个一个奇怪的文件,懒的自己描述
在网上搜到一位网友的文章,发给大家共享
笔者发文时国内杀毒软件不能查杀,
目前只有瑞星声称发现并可以清除
但是我用的正版瑞星2天都没有完成升级
真实ft,最后找的盗版工具还没有升级到最新版,仍然没有杀掉这个病毒
有人要病毒样本我可以提供

=============================================================================
6月24日，一个MM叫我找个外挂，本人从来不喜欢什么网络游戏，但是早就听说www.171
73.com这个站点在游戏上很有名气，于是
很随意的打开这个站点。网页还没有等完全显示出来，就弹出一个对话窗口，显示无法
打开“"ms-its:mhtml:file://C:\f
oo.mht!${PATH}/game.chm::/launch.htm”。我日的，这个不是IE的那个漏洞么，虽然
老外早就公开了这个利用的方法的代码，
但是至少国内还没公开的工具，补丁在4月13号已经出来了。LLD这么大名气的站点上怎
么放个木马，经过分析网页的HTLM文件，
发现他们利用一个隐藏的匡架网页，把这个恶意代码放在那个里，这样不会在网页的源
文件里显示太明显，还不会因为中了以后
在IE的标题上显示木马的路径，当时我的第一反应是，这个站点被黑了，靠。。中国第
一大门户站点，SOHU的下属，世界排名23
位，访问量超过了263平均一天一百多万人来呀！这样的站点主页放了个网页木马，还是
比较新的IE漏洞，得有多少人受害呀，
于是我抓起电话给这个站点打了过去告诉他们主页有木马，但是电话那边明显反应迟钝
。
    本人的好奇心起来了，想看看是什么木马，于是自己照着路径直接就把game.chm 下
来了。并且在我自己的机器上运行了。
马上显示了进程svch0st_.exe。仔细一查看，WINNT下多了“svch0st_.exe”和“lsas.
bmp”2个文件，看来一个是显示进程的EX
E另一个是DLL插入线程用的。通过端口分析这个找到了这个木马放到外面数据的IP“61
.129.50.82”。而且对方接受数据的是80
端口，PING一下IP看看返回的TTL，应该是WIN系统，看来这个木马得到的数据发到这个
机器上的一个ASP程序中。经过反汇编，
和用16进制文本对EXE木马进行分析，已经监听网络数据得到得到接收密码的地址。靠原
来是偷传奇的木马，经过杀毒软件测试
，目前国内3大杀毒软件都不能查杀！这个程序里的“0612120ED8CDCD151515CC06FF010
903100106070CFFCC010CCD020D150CCD0B0
710CD010D0D0BCCFF110EABCFD5CFD5D1DE0106070CFF0B0710D0CC010D0B”这段代码，经过
算法还原得到这个木马的接收密码的后
台“http://www.hackerchina.cn/down/mir/mirdat.asp”接着分析一下，靠还有信箱地
址呀？！“17173@chinamir2.com”。
为了避免更多的人受害，我把这个木马的2个发送密码的地址公布出来。从反汇编的代码
看，这个木马应该是DELPHI写的，代码
十分精巧，绝对是高手的作品，本人对此十分佩服，因为这个代码能在WIN2000的动态内
存中获得传奇的密码，级别，装备，服
务器等等信息，并且发送到一个网络空间的ASP后台中。具体的分析原理过程比较复杂，
本人不做过多的论述了，在这里只是说
明一个事实。以免更多的人受害！
本人都分析完毕了，打开www.17173.com一看，靠！木马依旧呀。本人对“www.17173.c
om”的服务器和“http://www.hackerchi
na.cn”的2个服务器进行了一下安全测试，感觉能靠系统漏洞黑进去的可能性十分的小
，但是为什么这么大的站点的主页能有这
个木马呢？我不敢说是他们内部人做的，但是很值得怀疑。
   本人已经把分析过程和这个木马的样本报告给KV3000了，在这里把这个事情公布出来
，以免更多人上当。访问站点千万要小
心，连这么大的站点都没有信誉，在主页上放木马，我们还能相信谁？本人不玩什么游
戏中了也就算了，至少还能有能力查一下
，但是这个木马真正害多少人，不得而知了，在这里提醒那些到过这个站点的人，注意
你们的密码！
   本人QQ：15188806 欢迎技术交流

--
RULE 3 - You will NOT make 40 thousand dollars a year 

right out of school. You won't be  a  vice  president 

with a car phone until you earn both.
                                       ——Bill Gates


※ 修改:·Lerry 于 Jun 29 00:47:47 修改本文·[FROM: 218.9.187.*]
※ 来源:·哈工大紫丁香 bbs.hit.edu.cn·[FROM: 218.9.187.*]