来源:安全中国
朋友在一个3D培训电脑培训公司当网管实习,临时回家了几天,找到我代替他工作几天。这家公司属于中型规模,通过路由器组建的内网,大概有200多台电脑,10M光纤接入,但是网速出奇的慢,每台电脑里都装了个杀毒soft加上一个ARP防火墙,ARP防火墙经常弹出提示192.168.1.102发来攻击,很明显这台电脑中招了,攻击全内网导致上网速度十分的慢。每台机器也没什么重要的东西,主要上面就是运行一些3Dsoft。锁定了这台电脑IP后,找到了这台电脑,临时叫使用这个电脑的人换到了我电脑上。
打开IE发现主页被篡改,经常弹出未知网页,杀毒soft和防火墙也打不开,打开某些程序提示soft出错(像是已经被感染),看来中了很BT的病毒,如果手工杀起毒来,恐怕需要一些时候了。一般情况下,这里的机器中了毒基本都是用GHOST重新装的,看来这台机器也是要这样了,节省时间,反正里面也没什么重要数据。但是重装之前得分析清楚,是什么原因让这个机器中毒了,由于这里的人平时也不下载什么soft,由于soft被木马捆绑中毒的概率很低,多半是浏览哪个网页导致的。
先断开本地连接,在一个弹出网页中找到了如下代码:图1
图1
一看就是挂马了,把这个网页通过另一台机器用迅雷把这张网页下载下来,看到一堆的代码:
图2
是自定义函数加密的网页木马,加密代码的最上面有一个eval函数,把eval改成document.write保存后直接打开这个页面,得到第一次解密。如下:图3
图3
1复制出以上解密的代码,再建立第二张网页,把document.write(t)换成document.getElementById('textfield').value=t;,在网页的最下面写上<form id="form1" name="form1" method="post" action="">
2<label>
3<textarea name="textfield" cols="100" rows="50"></textarea>
4</label>
5</form>
注意textfield与document.getElementById('textfield').value=t;里的textfield是相对应的。之后打开这个网页,得到了最终解密的结果。图4
[1] [2] 下一页
转截请注明:来自 广西安全网络 Http://www.gxfa.com