今日,小博在加密解密区发了一个要求解密贴,http://www.daokers.net/read.php?tid=2395,点名要我帮忙解密。
于是看了下这个网马。
他的代码如下
194
对于这样的网马,一眼就可以看到,前面都是变量,重点咱们关注后面。
为了观看方便,咱们对这个代码进行一下整理。
看下我的整理图
我们来看看这个整理好后的部分代码
var XJU9Xi=[102,62,44];
var Jyyl=new Array();
for (var s10d8g4Wq=0;s10d8g4Wq
我们从RE4Ml这个数组看起,GXzob52的值是从RE4Ml这个数组中提取了4个数值来作为自己的值,数组中是从0,1,2...开始的,那么RE4Ml[3]就是“e“,RE4Ml[8]就为”v“,RE4Ml[16]为”a“,RE4Ml[24]为"l",可以看到GXzob52就是eval,另外UE9Dha9=this,那么S82iD2j6就是this[eval],那么他就是执行指令,咱们的突破口也就在这里。
继续往下看,可以看到后面是2个函数,在最后面,我们看到了S82iD2j6(m2qo55(Jyyl)),从前面的代码可知,Jyyl就是前面将所有的其他字符串联起来的最终值,m2qo55就是解密函数。咱们解密的机会来了。
为了方便复制,咱们用用textarea解决,
在的后面添加
然后在前面截取字符
可以这样添加
t=m2qo55(Jyyl);
txt.value=(t);
保存运行后直接在文本框中输出了解密字符
这样就剥下了这个网马的第一层皮。
咱们将这段代码至于%MINIFYHTML09c2dd77187ef2fc767dd223644d52035%中继续解密
代码如下
%MINIFYHTML09c2dd77187ef2fc767dd223644d52036%
同样,继续从尾巴开始看起差,查找突破口
var T22801="i2Ry25";
var h2pFY0=String;
if (fnrQ1XD35b==517){T22801="l28iqtn"; h2pFY0=this;};
SB14RxYzkDTr="evl28iqtnal".replace(T22801,"");
h2pFY0[SB14RxYzkDTr](cDQWOo8100q);
看一看if后面的代码,
T22801="l28iqtn",那么 SB14RxYzkDTr="evl28iqtnal".replace(T22801,"");,就是从"evl28iqtnal”中替换掉"l28iqtn",那么就是eval
这样就好办了,跟上面一样的思路,用textarea截取之
在前面添加
t=cDQWOo8100q
txt.value=(t);
保存运行。
现在,明文已经出来了,2次eval。
我对这个代码好好整理了一下,替换掉连接符,咱们看看
仔细看看这个代码可以发现,他不是一个单一的网马来的。他至少利用了4个漏洞来下载木马。
首先是mdac函数,他是利用的iems06014漏洞来进行传播,mdac函数首先是从13个问题组件的classid中选择,列举一部分
RDS.DataSpace BD96C556-65A3-11D0-983A-00C04FC29E36 ms06014
Business Object Factory AB9BCEDD-EC7E-47E1-9322-D4A210617116
Outlook Data Object 0006F033-0000-0000-C000-000000000046
VsaIDE.DTE E8CCCDDF-CA28-496b-B050-6C07C962476B
Microsoft.DbgClr.DTE.8.0′ D0C07D56-7C69-43F1-B4A0-25F5A11FAB19
如果有一个存在,那么就利用其下载目标文件。S1aw85UTWSKZ是主要的执行下载和执行任务的函数。利用Scripting.FileSystemObject来查找路径,在这里可见是存放到temp目录,利用Microsoft.XMLHTTP,MSXML2.XMLHTTP或者MSXML2.ServerXMLHTTP来执行下载的指令,利用ADODB.Stream来打开,另存为下载的文件,最后使用Shell.Application的ShellExecute方法来执行下载的木马。对于ie漏洞利用的基本流程就是这样。
看下一个
java_dt这个函数,这个是利用Java开发工具包URL参数远程代码执行漏洞的一个函数
java_gsb是另外一个利用jave的applet对象的漏洞利用函数,他的这个value值,应当是作者的利用网址。
pdf_ie是利用Adobe Reader/Acrobat AcroPDF.dll ActiveX控件远程代码执行漏洞的函数
好了,这个网马的解密基本就是这样了,他分别利用了IE的ms06014漏洞,Java开发工具包URL参数远程代码执行漏洞和Adobe Reader/Acrobat AcroPDF.dll ActiveX控件远程代码执行漏洞等3个系统漏洞来完成设计目标。
全文完
by daokers