导航

遭遇木马

Posted on 2009-12-11 14:35  ccjvl  阅读(100)  评论(0)    收藏  举报

遭遇木马

找一个FULLSOURCE的插件,找到了这个站点。然后就开始了。

下载链接是这个

http://down1.3ddown.com//Crack/2007/08/DevExpress.ExpressQuantumTreeList.v4.27

下回来解压缩一看,居然是自解压包,这个就有问题了,这种东西你要么是ZIP包,要么是安装的EXE文件,ZIP包里还包含个自解压包?有猫腻。不过当时因为急着看里面的一段源代码,网上碰过的鬼鬼怪怪的也多了,也不怎么在意,就执行了这个文件。果然,前面一段都是解压控件源码。但是执行完了,NOD32就报了警。c:\program files\fameos下面发现木马。之前没这个目录的,我就知道,这个网站良心大大的坏了。于是到该目录下看了看,还剩个dll文件,删之。解压回来的源代码部分倒是没问题,照常用。

分析该自解压文件,文件包含个Setup.exe,用来干坏事的。rarinfo.txt记录rar压缩包信息。setup.ini内容如下

[install]
PATH=DevExpress.ExpressQuantumTreeList.v4.27.for.Delphi.BCB.Full.Source-SSG
GNAME=DevExpress.ExpressQuantumTreeList.v4.27.for.Delphi.BCB.Full.Source-SSG
KEYID1={1FD8C862-E003-4512-B5B7-EE0F93EB28C0}
KEYID2={1FD8C862-E003-4512-B5B7-EE0F93EB28C0}
KEYID3=40002
GameProcLnk=DevExpress.ExpressQuantumTreeList.v4.27.for.Delphi.BCB.Full.Source-SSG_setup.exe
GameReg=
JPATH=fameos

可以看出来后面包含安装时需要用的fameos路径名。

那具体文件在什么地方呢?

里面还包含两个dat文件,gTemp.dat,jTemp.dat,经分析文件头包含PK字样,这是ZIP格式的作者伟大的菲利普·卡兹的缩写,看来是标准的ZIP格式。用winrar打开可以发现gTemp.dat时控件源代码,这是我们需要的东西。而jTemp.dat是加密的,里面的内容就是木马了。

这个木马就这么样了。利用ZIP自解压功能,在解压完源代码后将木马安装到硬盘上并激活。手段很低劣,完毕。