CoffeeCat's IT Blog

舞街区更新病毒分析结果（Final）

舞街区更新病毒分析结果（完结篇）

2007年10月5日分析报告

   今天，我吸取了前几次测试的经验，对舞街区程序进行了周密的测试，最终发现了病毒源。

   该病毒来自为舞街区提供流量统计和计数服务的站点itsun.com，itsun.com在计数器中植入木马程序。该病毒利用了IE的漏洞，并通过舞街区更新程序中自动打开的网页，入侵玩家的电脑，入侵以后自动下载大量盗号木马程序，主要针对QQ和大型网游，同时会在每个硬盘分区下生成auto病毒。

   不过据我猜测，舞街区官方对此并不知情，而itsun.com的木马程序会选择性的感染玩家的电脑，具有很强的隐蔽性，也给大家造成了迷惑。
  
   我先写一下分析报告的结果吧，这也是大家比较感兴趣的。至于分析的过程，在这段后面。


分析报告结论
   病毒所在位置：
      http:// 2 2 2 . 7 3 . 1 9 . 2 1 7 : 8881/www1/count2.php
   病毒所属单位：
      itsun.com（为舞街区提供网页流量计数服务的站点）
   病毒类型：
      木马
   病毒入侵原理：
      通过舞街区程序更新界面的内嵌网页入侵用户系统。由于舞街区程序的网页实现基于IE内核，所以，从本质上将，该病毒的入侵是利用了IE的漏洞。
   病毒入侵具体方法和细节：
      1：舞街区程序打开网页http://news.snailgame.net/API/5jq/
      2：该网页内包含了调用了itsun的流量计数器代码，见图3
      3：计数器代码又调用了带木马的页面count2.php，见图4
      4：count2.php返回了一段加密以后的恶意Javascript代码（见图5）。这段代码经过解密分析（见图6-图9），可以将位于服务器222.73.254.67中的木马程序moon.exe下载到用户电脑上并执行，从而，让玩家感染病毒。



   下面我写一下这个病毒的具体分析报告吧，由于报告中含有一些敏感信息（网址，恶意JS代码），所以，所有代码都用图片呈现。


中毒过程：
  
   （图1）
   此时发现病毒已经入侵，而舞街区并没有下载更新，只是打开了程序中的网页，所以，病毒来自网页。


病毒采样：
   我到IE的Temp文件夹中，把刚才下载下来的所有文件全部提取出来，然后，对其中的网页文件和js文件进行分析。
   此时在IE的Temp文件夹中，已经出现了一个名叫moon.exe的病毒，还有一个叫update.txt的文件，记录了即将要下载的木马程序列表。如图所示
  
   （图2）

确定病毒源：
  
   舞街区的欢迎网页位于 http://news.snailgame.net/API/5jq/，在这个网页中，通过如下代码调用了itsun的流量统计

  （图3）
   而在counter.php中，又使用如下代码，调用count2.php页面

  （图4）
   count2.php，就是一个被植入木马的页面。不过要特别说明一下，这个页面并不是每次都会返回木马程序，它的服务器端脚本会做一些处理，在有些时候不会返回木马程序。这也可以算是一个隐藏自己的处理吧。

   下面分析count2.php：

   count2.php是一个经过2次加密的网页，如下图所示

     
      （图5）
   第一次解密以后的代码，如下图所示（据分析，它用HTMLSHIP加密）

     
      （图6）
   现在的这个页面，比刚开始的那个要好读多了。这个页面中，很多字符都用转义字符的16进制表示，所以，我把16进制转换成了原始字符，就能得到一个可读性比较强的JS代码了，如下图所示：
     
      （图7）
   下面贴几处挂马的代码，稍微懂点程序的人应该都能看出这个程序在干什么
     
     
      （图8）
     
      （图9）

   简单说明：该javascript程序先通过XMLHTTP对象下载moon.exe，然后，给cmd.exe发送命令，运行这个木马对象。你可以在图2中，找到moon.exe的踪迹。
   至此，病毒源已经查清楚了，病毒确实来自itsun.com，而病毒所在的服务器您也可以从图8中的那个URL找到。
  
病毒的危害
   1：首先，我们来看看update.txt文件，这个文件里记录了所有木马程序，我只列出小部分。
  
   （图10）
  
   2：感染这个病毒的玩家，会被植入很多盗号木马，比如QQ的，wow的等等。
   3：系统时钟会被往前改，这会使得卡巴斯基实效
   4：每个硬盘分区下都会出现auto.exe和autorun.inf，当你双击打开硬盘，就中毒。
   5：病毒还会感染玩家的所有脱机网页，包括htm，asp等等，如图所示
  
   （图11）
   6：还有很多未知的...

病毒的防护

   由于该病毒是利用IE浏览器的漏洞入侵的，所以，玩舞街区的朋友们请将IE升级到IE7.0，或者下载最新的微软IE补丁，堵住漏洞。
   但是，不可能所有的玩家都会打补丁，或者是安装IE7，像我就是，所以，杜绝此病毒还需要舞街区官方的行动。

  
呼吁
   最后，我强烈呼吁，舞街区官方能尽早有效地解决舞街区更新网页被挂马的问题，好好调查一下此事是不是itsun所为，毕竟，木马出自itsun，itsun利用了舞街区程序，入侵玩家电脑。itsun可以说是一个幕后黑手，他们可以通过挂马来获取非法收益，可是承担罪名的，却是舞街区。舞街区是一款优秀的游戏，不要让病毒害了舞街区。




Ferris Xu (CoffeeCat)
2007-10-05

posted on 2007-10-06 15:47 CoffeeCat 阅读(876) 评论(1)  编辑 收藏 引用