转：CSDN社区主页木马感染用户电脑过程分析

此文转自子虚乌有的博客

2007.01.13中午登陆CSDN社区主页的时候，norton报警，当时截了两个图，因为对于网页代码如何下载程序到用户机器执行的过程很感兴趣，于是就对木马分析了一番：

查找CSDN社区主页的源码，发现下面这行挂马的代码：

将里面的http://ujdmk1.chinaw3.com/xx.html下载下来之后一看源码有点懵了，全是乱码

不过还是发现了有用的东西，就是这行“广告”：Bypassing of web filters by using ASCII Exploit By CoolDiyer

google以后发现这个看是全是乱码代码能被IE顺利执行就是利用了IE在处理ASCII是的一个漏洞，这里http://marc.theaimsgroup.com/?l=bugtraq&m=115091980210447&w=2是漏洞原理的介绍，利用这个漏洞处理之后的代码就能穿透现在几乎所有的防火墙……

知道乱码产生的原理之后我们就可以将这些乱码解开了：

还是有些乱七八糟的代码，不过熟悉javascript的朋友应该都熟悉，这不过是一段经过混淆程序混淆以后然后做了escape处理的的javascript脚本，现在我们还原这个脚本的本来面目看看：

到此我们的木马下载过程就可以看得很清楚了，这段代码利用的是MS06-014漏洞，从远程服务器下载木马，然后执行，达到感染的目的。

总结一下：

1、挂马的首先是利用IE的ASCII处理漏洞，将恶意代码中的7bit的ASCII码字符扩展成8位的不可读的“乱码”，逃过杀毒软件以及防火墙的过滤。

2、在IE里，通过利用MS06-014 MDAC漏洞远程下载木马并执行，感染用户电脑。

因此，只要客户端电脑上面的MS06-014漏洞补丁打上了的话是没有问题的，同时也警告各位，鉴于现在互联网上MS06-014漏洞利用程序遍地都是，MS06-014补丁一定要打上，否则随便上网的话会死的很惨的。

另外：这里(MS06-014: msadco.dll 严重漏洞, http://www.playes.net/Blog/421.asp)有一个对MS06-014漏洞检测方法以及打不上补丁电脑的堵漏洞的处理方法，有兴趣的可以参考一下。