来源:安全中国

朋友在一个3D培训电脑培训公司当网管实习，临时回家了几天，找到我代替他工作几天。这家公司属于中型规模，通过路由器组建的局域网，大概有200多台电脑，10M光纤接入，但是网速出奇的慢，每台电脑里都装了个杀毒软件加上一个ARP防火墙，ARP防火墙经常弹出提示192.168.1.102发来攻击，很明显这台电脑中招了，攻击全局域网导致上网速度十分的慢。每台机器也没什么重要的东西，主要上面就是运行一些3D软件。锁定了这台电脑IP后，找到了这台电脑，临时叫使用这个电脑的人换到了我电脑上。

　　打开IE发现主页被篡改，经常弹出未知网页，杀毒软件和防火墙也打不开，打开某些程序提示软件出错(像是已经被感染)，看来中了很BT的病毒，如果手工杀起毒来，恐怕需要一些时候了。一般情况下，这里的机器中了毒基本都是用GHOST重新装的，看来这台机器也是要这样了，节省时间，反正里面也没什么重要数据。但是重装之前得分析清楚，是什么原因让这个机器中毒了，由于这里的人平时也不下载什么软件，由于软件被木马捆绑中毒的概率很低，多半是浏览哪个网页导致的。

　　先断开本地连接，在一个弹出网页中找到了如下代码：图1

　　图1

　　一看就是挂马了，把这个网页通过另一台机器用迅雷把这张网页下载下来，看到一堆的代码：

　　图2

　　是自定义函数加密的网页木马，加密代码的最上面有一个eval函数，把eval改成document.write保存后直接打开这个页面，得到第一次解密。如下：图3

图3

　　注意textfield与document.getElementById('textfield').value=t;里的textfield是相对应的。之后打开这个网页，得到了最终解密的结果。图4

[1] [2] 下一页