[原创]对一个网页木马的剖析

注意：谨以此文章献给我的父亲和母亲，感谢他们对我多年来的养育之恩！本文由于部分代码涉及病毒分析，所以拷贝过程中，杀毒软件会把文章当病毒杀掉，并无任何大碍只是无法在有杀毒软件的计算机进行阅读或者传输。 原创声明： 中国暗域网络技术资讯站原创文章，作者 冰血封情，转载劳烦著名出处。 拙笔正文： 本人不才，在中国鹰派做一个小小的技术版主。有一天在论坛回帖的时候看见这样一部主题

我做的网页木马 http://kev.369.com 不怕就去看看，呵呵！

回的人比较少，那这样吧，这种关键时刻，上刀山下油锅的就得是我们做版猪的了！习惯的看一下表凌晨4:08。 做好安全措施，冲到了http://kev.369.com/ 一看网页的源文件是

经过一段时间的分析踩点，得出来如下结论：

文件bar.htm没找到，不知道是真没有还是我菜，真没找到。 真的整个站的首页在这里： http://home.itdrp.com/kevjy/ 其实实现木马病毒种植的是这个页： http://kevjy.1816.net/1/index.htm

那就从罪魁祸首开始分析 http://kevjy.1816.net/1/index.htm 其页面代码如下：

…… （中间省略N多象上面一样的弹出窗口废话） ……

		<<< >>>
哈哈，过瘾吧？ ABCDEFGHIMN &*( HeHe......Just a joke! Have FUN......

哇好多弹出窗口啊？其实后面你就知道了，这其实不过是让他给你种木马争取时间：）黑吧！！ 上面的代码其实有一小段代码十分可疑！应该大家也注意了。就是：

很明显代码被微软的脚本编码器( SCRENC.EXE )加密过！简单介绍一下，微软的脚本编码器( SCRENC.EXE )是微软提供的可以对ASP脚本源码进行编码加密的一个工具。应用开发商通过使用这个工具，达到 Web 主机和 Web 客户不能查看或修改它们的源代码。具体信息可以查看中国暗域网络相关技术文章，这里就不说废话了！现在开始解密…… 把秘密议文拷贝到一个TXT文件中，重命名为source.txt。然后找到ZwdEcode所在的目录，输入

D:\Tools>zwdecode Decoder for Microsoft Script v6.2 ©2001 MrZhengwei , zhengei@263.net TEL:013001865430 Home page: http://www.zhengwei.net/prg/zwdecode.htm Usage: zwdecode zwdecode source.txt hackway.txt

软件zwdecode下载地址：中国暗域网络技术下载系统 现在去同目录下看，可以找到hackway.txt，其中就是解密后的明文。使用ZWD轻易破解后的明文如下： 看见了破解后的明文，可以分析这里是个重点 http%3A//home.itdrp.com/kevjy/mm.html %3A是编码后的内容，翻译过来就是t。那么我们现在清楚了，原来开始的时候还插入了一个mm.html页！ 好！再去这里看看：http://home.itdrp.com/kevjy/mm.html 竟然是张白页？晕……而且无法查看源代码，点了“查看源文件”竟然没反应，连输入view-source都不可以，只好把它强行下载回来研究了。 一下回来竟然被杀毒软件杀掉了，看来这个页面最有问题了。关闭杀毒软件时实监控，再下一次。 OK！现在我们可以看见mm.html的内容如下： 前面的代码是这样的（被杀毒软件认成病毒的就是这里了，后面的无毒就不说了，我懒……）：

（以上的代码会被杀毒软件认成病毒，如果想保存此文章，请把上面的代码转换成下面的代码，书写方式变化而已）

可以看见上面的代码就知道问题所在了。经过检查lhxyexe.asp，并未对系统做什么动作。而20cn.asp等都是病毒文件（好狠毒啊）。均为脚本病毒js.htadropper的变种，这里冰血封情具体对他们尽心一一分析： JS.HTADropper.b 不详，等待有识之士一起研究 JS.HTADropper.c 修改用户IE设置的恶意网页 JS.HTADropper.d 恶意网页的恶意脚本 JS.HTADropper.e 启动后是放出两个脚本病毒，具体放出了谁我就不清楚了，等待有识之士一起研究 JS.HTADropper.f 恶意网站释放的病毒。利用IE漏洞，释放木马病毒Trojan.PSW.PS-Client.enc，楼主一直说自己那个是网页木马，现在知道木马在哪里了吧：） JS.HTADropper.gen 脚本病毒，作用不详，等待有识之士一起研究。还是自己问问那个站长吧。 现在来说说刚才JS.HTADropper.f放出来的小木马吧。 Trojan.PSW.PS-Client.enc其实是个后门程序，在后台隐藏运行。并修改注册表的 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 项,在其中添加一项 键值以达到自启动的目的.窃取用户密码。 真是无“毒”不丈夫啊！！ 小生佩服佩服……以上就是对网页木马的简单剖析，如有什么不对，还请高手斧正。 最后说一点，其实木马还可以插得更加“神不知鬼不觉”，而且只要做小小的修改，前面的文章中其实我已经告诉你了，具体是哪？自己找！实在找不到？访问中国暗域网络技术主题：[TIPS]The Technology of Virus and Bug 承让承让…… 习惯看下时间2004年1月23日凌晨5：15。 灌水广告： ——友情支持 中国鹰派技术交流版小小版主 我是斑猪不要吃我 ——文章原创由 中国暗域网络 及 邪恶八进制 冰血封情 ——Be powered by Hackway Power of Cn & EvilOctal Security Group Evilin ——欢迎访问 www.HackWay.net & www.EvilOctal.com

前天我刚中了这样的病毒，我的杀毒软件只报告有病毒，杀不了。
网址是：www.eliao.net
斑竹帮我看一下，一开始能通过修改注册表改回来，但是昨天我打开IE 时，又改回去了，而且还锁了注册表编译器，提示：注册编译以被管理员停用。
我现在不能再该回来，请斑竹提示一下

我对这个感兴趣啦 哈哈
他既然加密 还用这种老土的加密方法
看看我的加密 谁能破
http://www.cnwlt.com/space/no/5577/mail100.htm

老大，这个看不明白啊
哎，伤心
还要进步啊

下面引用由北静王在 2004/01/23 11:55am 发表的内容：
前天我刚中了这样的病毒，我的杀毒软件只报告有病毒，杀不了。
网址是：www.eliao.net
斑竹帮我看一下，一开始能通过修改注册表改回来，但是昨天我打开IE 时，又改回去了，而且还锁了注册表编译器，提示：注册编 ...

简单的方法是使用杀毒软件杀一次
然后用3721的自动恢复功能
因为手工清除比较麻烦又要具体问题具体分析。
实在是难以用语言表达。

下面引用由lamianbu在 2004/01/23 12:02pm 发表的内容：
我对这个感兴趣啦 哈哈
他既然加密 还用这种老土的加密方法
看看我的加密 谁能破
http://www.cnwlt.com/space/no/5577/mail100.htm

你那个是字体破坏或者不支持的乱码

大哥都很猛！可是我连什么也看不懂，但是我会学的好好进步的！

厉害呀~~~~~~还解析的很详细~~~~~~~保存下来先！~~~~~~~

其实只是个很简单的分析：）
有助于刚接触的人学习……