CoffeeCat's IT Blog

舞街区更新病毒分析结果(Final)

舞街区更新病毒分析结果(完结篇)

2007年10月5日分析报告

   今天,我吸取了前几次测试的经验,对舞街区程序进行了周密的测试,最终发现了病毒源。

   该病毒来自为舞街区提供流量统计和计数服务的站点itsun.com,itsun.com在计数器中植入木马程序。该病毒利用了IE的漏洞,并通过舞街区更新程序中自动打开的网页,入侵玩家的电脑,入侵以后自动下载大量盗号木马程序,主要针对QQ和大型网游,同时会在每个硬盘分区下生成auto病毒。

   不过据我猜测,舞街区官方对此并不知情,而itsun.com的木马程序会选择性的感染玩家的电脑,具有很强的隐蔽性,也给大家造成了迷惑。
  
   我先写一下分析报告的结果吧,这也是大家比较感兴趣的。至于分析的过程,在这段后面。


分析报告结论
   病毒所在位置:
      http:// 2 2 2 . 7 3 . 1 9 . 2 1 7 : 8881/www1/count2.php
   病毒所属单位:
      itsun.com(为舞街区提供网页流量计数服务的站点)
   病毒类型:
      木马
   病毒入侵原理:
      通过舞街区程序更新界面的内嵌网页入侵用户系统。由于舞街区程序的网页实现基于IE内核,所以,从本质上将,该病毒的入侵是利用了IE的漏洞。
   病毒入侵具体方法和细节:
      1:舞街区程序打开网页http://news.snailgame.net/API/5jq/
      2:该网页内包含了调用了itsun的流量计数器代码,见图3
      3:计数器代码又调用了带木马的页面count2.php,见图4
      4:count2.php返回了一段加密以后的恶意Javascript代码(见图5)。这段代码经过解密分析(见图6-图9),可以将位于服务器222.73.254.67中的木马程序moon.exe下载到用户电脑上并执行,从而,让玩家感染病毒。



   下面我写一下这个病毒的具体分析报告吧,由于报告中含有一些敏感信息(网址,恶意JS代码),所以,所有代码都用图片呈现。


中毒过程:
  
   (图1)
   此时发现病毒已经入侵,而舞街区并没有下载更新,只是打开了程序中的网页,所以,病毒来自网页。


病毒采样:
   我到IE的Temp文件夹中,把刚才下载下来的所有文件全部提取出来,然后,对其中的网页文件和js文件进行分析。
   此时在IE的Temp文件夹中,已经出现了一个名叫moon.exe的病毒,还有一个叫update.txt的文件,记录了即将要下载的木马程序列表。如图所示
  
   (图2)

确定病毒源:
  
   舞街区的欢迎网页位于 http://news.snailgame.net/API/5jq/,在这个网页中,通过如下代码调用了itsun的流量统计

  (图3)
   而在counter.php中,又使用如下代码,调用count2.php页面

  (图4)
   count2.php,就是一个被植入木马的页面。不过要特别说明一下,这个页面并不是每次都会返回木马程序,它的服务器端脚本会做一些处理,在有些时候不会返回木马程序。这也可以算是一个隐藏自己的处理吧。

   下面分析count2.php:

   count2.php是一个经过2次加密的网页,如下图所示

     
      (图5)
   第一次解密以后的代码,如下图所示(据分析,它用HTMLSHIP加密)

     
      (图6)
   现在的这个页面,比刚开始的那个要好读多了。这个页面中,很多字符都用转义字符的16进制表示,所以,我把16进制转换成了原始字符,就能得到一个可读性比较强的JS代码了,如下图所示:
     
      (图7)
   下面贴几处挂马的代码,稍微懂点程序的人应该都能看出这个程序在干什么
     
     
      (图8)
     
      (图9)

   简单说明:该javascript程序先通过XMLHTTP对象下载moon.exe,然后,给cmd.exe发送命令,运行这个木马对象。你可以在图2中,找到moon.exe的踪迹。
   至此,病毒源已经查清楚了,病毒确实来自itsun.com,而病毒所在的服务器您也可以从图8中的那个URL找到。
  
病毒的危害
   1:首先,我们来看看update.txt文件,这个文件里记录了所有木马程序,我只列出小部分。
  
   (图10)
  
   2:感染这个病毒的玩家,会被植入很多盗号木马,比如QQ的,wow的等等。
   3:系统时钟会被往前改,这会使得卡巴斯基实效
   4:每个硬盘分区下都会出现auto.exe和autorun.inf,当你双击打开硬盘,就中毒。
   5:病毒还会感染玩家的所有脱机网页,包括htm,asp等等,如图所示
  
   (图11)
   6:还有很多未知的...

病毒的防护

   由于该病毒是利用IE浏览器的漏洞入侵的,所以,玩舞街区的朋友们请将IE升级到IE7.0,或者下载最新的微软IE补丁,堵住漏洞。
   但是,不可能所有的玩家都会打补丁,或者是安装IE7,像我就是,所以,杜绝此病毒还需要舞街区官方的行动。

  
呼吁
   最后,我强烈呼吁,舞街区官方能尽早有效地解决舞街区更新网页被挂马的问题,好好调查一下此事是不是itsun所为,毕竟,木马出自itsun,itsun利用了舞街区程序,入侵玩家电脑。itsun可以说是一个幕后黑手,他们可以通过挂马来获取非法收益,可是承担罪名的,却是舞街区。舞街区是一款优秀的游戏,不要让病毒害了舞街区。




Ferris Xu (CoffeeCat)
2007-10-05

posted on 2007-10-06 15:47 CoffeeCat 阅读(808) 评论(1)  编辑 收藏 引用

评论

# re: 舞街区更新病毒分析结果(Final) 2008-01-13 02:05 PP

对itsun.com的统计是怕怕了,中国那么多的网站用他的统计,今天晚上我的站也报了。结果也是从这里来的!!  回复  更多评论   

只有注册用户登录后才能发表评论。
<2007年10月>
30123456
78910111213
14151617181920
21222324252627
28293031123
45678910

导航

统计

公告

常用链接

留言簿(203)

随笔档案

收藏夹

搜索

最新评论

阅读排行榜

评论排行榜