网络安全 频道

对一刷网站访问量的小马分析

生成批处删记录

killme.bat

echo off

sleep 100

del rundll322.exe

del killme.bat

cls

exit

简单的写注册表run。

004046ED   . BA 5C284000   MOV EDX,Rundll32.0040285C

           ; software\microsoft\windows\currentversion\run

004046F2   . 8D8D 08FFFFFF LEA ECX,DWORD PTR SS:[EBP-F8]

004046F8   . FF15 40114000 CALL DWORD PTR DS:[<&msvbvm60.__vbaStrCop>; msvbvm60.__vbaStrCopy

004046FE   . C745 FC 17000>MOV DWORD PTR SS:[EBP-4],17

00404705   . C785 D4FDFFFF>MOV DWORD PTR SS:[EBP-22C],Rundll32.00402>; windir

0040470F   . C785 CCFDFFFF>MOV DWORD PTR SS:[EBP-234],8

00404719   . 8D95 CCFDFFFF LEA EDX,DWORD PTR SS:[EBP-234]

0040471F   . 8D8D 2CFEFFFF LEA ECX,DWORD PTR SS:[EBP-1D4]

00404725   . FF15 6C114000 CALL DWORD PTR DS:[<&msvbvm60.__vbaVarDup>; msvbvm60.__vbaVarDup

0040472B   . 8D95 2CFEFFFF LEA EDX,DWORD PTR SS:[EBP-1D4]

00404731   . 52         PUSH EDX

00404732   . 8D85 1CFEFFFF LEA EAX,DWORD PTR SS:[EBP-1E4]

00404738   . 50         PUSH EAX

00404739   . FF15 60104000 CALL DWORD PTR DS:[<&msvbvm60.rtcEnvironV>; msvbvm60.rtcEnvironVar

0040473F   . C785 C4FDFFFF>MOV DWORD PTR SS:[EBP-23C],Rundll32.00402>; \rundll32.exe

直接给出分析的总结吧。程序只是为了刷访问量,没有什么后门,也就隐藏了URL,用XXXX代理了。

程序运行后,你的电脑会访问 http://www.xxxxxxxx.com/tc/MMResult.asp

看代码

<HTML><HEAD><TITLE>.</TITLE>

<meta http-equiv="refresh" content="1; url=http://www.xxxx.net"> ‘地址用xxx代替了

</HEAD><BODY>

<script src=''http://s47.cnzz.com/stat.php?id=223697&web_id=223697'' language=''JavaScript''

 charset=''gb2312''></script>   ’站长站的流量统计

</BODY></HTML>

把自身复制到c:/windows/,会生成批处删本地目录运行程序。

killme.bat

echo off

sleep 100

del rundll322.exe

del killme.bat

cls

exit

程序的运行方式是 写注册表

software\microsoft\windows\currentversion\run

键值rundll32.exe

程序写的不好,要插入进程,那效果会好点。只要把他程序的URL修改一下这个木马就可以自己使用了

0
相关文章