找回密码
 注册创意安天

超級神奇掛馬,請求解答

 火.. [复制链接]
发表于 2010-4-26 17:54 | 显示全部楼层 |阅读模式
样本獲取方法:
http://www.google.com.hk/search?hl=zh-CN&q=%E8%8F%AF%E5%83%91%E5%A0%B1
點第一個,就可以下載。注意:下載了一次就不能不載,必需清理歷史才能重新下載
究竟是什麼的問題?華僑報網站也沒看出有什麼問題
我使用了IDM截了样本地址,結果重新輸入不能下載,卻轉向GOOGLE


歷史討論:
http://bbs.kafan.cn/thread-689319-1-1.html
http://bbs.kafan.cn/thread-688978-1-1.html
http://bbs.kafan.cn/thread-686868-1-1.html
http://bbs.kafan.cn/thread-684602-1-1.html
http://bbs.kafan.cn/thread-670271-1-1.html

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?注册创意安天

×
发表于 2010-4-27 11:16 | 显示全部楼层
已经处理!
回复

使用道具 举报

 楼主| 发表于 2010-4-27 17:01 | 显示全部楼层
回复 3# avengert


我是請求解答原因啊
回复

使用道具 举报

发表于 2010-4-28 10:48 | 显示全部楼层
首先,英仔说的访问华侨报网站会下载附件中的疑似样本,通过我验证目前是没有该行为,如果可能希望能提供网马非PE样本,深入研究。

其次对于你说的跳转GOOGLE的问题,我给你做了下分析:

    在通过GOOGLE搜索“華僑報網站”,用户点击链接,也就是请求访问“www.jornalvakio.com”网站。在请求的时候我们可以通过抓包等方式看到HTTP Referer:“http://www.google.com.hk/search? ... F%E5%83%91%E5%A0%B1”,Referer的作用是告诉服务器我们是通过“http://www.google.com.hk/search? ... F%E5%83%91%E5%A0%B1”这个页面来访问的。接着我们可以看到服务器返回302,也就是暂时性重定向到了“sslabssys.com”这个域名的链接,期间还设置了Cookie信息(该Cookie信息的作用也就是我们下次请求访问“www.jornalvakio.com”网站不会产生跳转。),随后也就是看“sslabssys.com”里面的信息可以看到最后重定向到了“www.google.com”谷歌页面。
    如果想正常访问“www.jornalvakio.com”网站而不跳转到谷歌,第一通过浏览器直接访问”www.jornalvakio.com”网站,第二也就是访问一次跳转后,再访问“www.jornalvakio.com”网站由于Cookie的作用可以正常访问而不跳转。
回复

使用道具 举报

发表于 2010-4-28 16:37 | 显示全部楼层
回复 4# 英仔


    您好。我只对样本进行了处理。因为您发帖子中含有样本。针对样本采集进行了回复。请看5楼。
回复

使用道具 举报

 楼主| 发表于 2010-4-28 22:07 | 显示全部楼层
即是哪裏出問題,令到下載木馬?
回复

使用道具 举报

发表于 2010-4-29 10:32 | 显示全部楼层
回复 7# 英仔
首先,英仔说的访问华侨报网站会下载附件中的疑似样本,通过我验证目前是没有该行为,如果可能希望能提供网马非PE样本,深入研究。
如果你现在访问还下载PE木马,那有可能是你所在的网段存在威胁。如果只是上次你访问下载样本,那或许之前那个网站被植入网马,而目前或许网马已经失效或删除。
回复

使用道具 举报

 楼主| 发表于 2010-4-30 00:33 | 显示全部楼层
回复 9# pluto


  還能下載的,請按照我一樓的方法進行下載
回复

使用道具 举报

发表于 2010-4-30 10:31 | 显示全部楼层
本帖最后由 pluto 于 2010-4-30 10:33 编辑

回复 10# 英仔
在用日本代理的确存在英仔说的下载jornalvakio.com PE文件,但在通过谷歌搜索后点击第一个华侨报会提示下载并保存jornalvakio.com文件,通过这种提示用户下载并保存的行为,我们只能判断或许华侨报(http://www.jornalvakio.com)网站通过判断客户端IP地址和Cookie信息来选择重定向下载PE文件链接或重定向到谷歌网站。但这种行为我们可以肯定并非目前所说的网站挂马,网站挂马的目的是利用系统或应用程序等漏洞在用户访问被挂马网站,在用户不之情的情况下下载和自动运行病毒即未提示用户下载并保存文件。
至于如何去跳转我在5楼描述已经基本清楚了,如果不明白我会在详细解释。
当然这种利用搜索引擎、IP、Cookie信息来选择性挂马的事件已经出现过,而且比较流行,详细技术分析可以参看2009年安天的《2009年中国大陆地区网络安全报告》,里面有部分技术介绍。
非常感谢英仔提供的信息,对于jornalvakio.com文件我们已经做了处理。
回复

使用道具 举报

 楼主| 发表于 2010-4-30 15:17 | 显示全部楼层
回复 11# pluto

這樣的情況是惡意添加的?
還有為什麼是保存下載而不是自動下載,用意什麼?
回复

使用道具 举报

 楼主| 发表于 2010-4-30 16:17 | 显示全部楼层
解決了,非常感謝安天官人的熱心解答,呵呵
回复

使用道具 举报

发表于 2010-4-30 16:20 | 显示全部楼层
呵呵
回复

使用道具 举报

发表于 2010-5-3 13:43 | 显示全部楼层
完蛋了,就我什么都不会啊。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-22 11:30

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表