Loves7 首页木马发现图解

Author： Hagen.GoO 转载请联系作者
MSN_contact： wantm009@hotmail.com
Keyword： 病毒、木马、黑客
Quote：


　　有网友在 Loves7 的BBS上反映该站首页被黑植入了木马。浏览首页时，卡巴斯基报 Trojan-Downloader.VBS 毒。

　　我不是管理员，所以不能简单的重传网页来解决此网页木马。因此使用 Sniffer 的工具（Wireshark/commview），来逐步定位被修改的网页。看下面附图说明：

　　说明：

1 http://www.loves7.com/friend 的ASP页面里面有SQL注入漏洞，黑客就是从此突破的。

2 其木马服务端123.exe文件是加了EXPRESSOR壳的，我粗略测试了一下，常用的杀毒软件中只有 AntiVir BitDefender VirusBuster　可以查处。Avast AVG Dr.Web F-Prot F-Secure Kaspersky NOD32 Norman Symantec McAfee 等，都无法脱壳查杀。http://www.cgsoftlabs.ro/ 这是EXPRESSOR的官方。

3 之所以楼主的卡巴斯基有报病毒，我猜测是楼主开启卡巴斯基6的主动防御或Internet防御。因此卡巴斯基截获了wyan.htm 中的恶意js脚本，而非木马服务端本身。经过测试，能报 wyan.htm 文件中包含有恶意脚本的常用杀毒软件只有有：ClamAV F-Secure Kaspersky。