天知道网马免杀
作者:易凡
来源:本站原创
[color=red]同样,这篇文章也是很久前发表在黑基论坛的。现在天知道网马不知道还有没有效果,或许已经过时,不过看该文,至少会懂得网马到底是怎么免杀的,举一反三就可以了。[/color]
天知道的那个网马生成器,感觉命中率还算比较高的了,各种杀毒软件也都可以查杀该网马,所以作一下免杀玩玩!当然挺久没弄挂马,不知道这个东西是否过时了……
用天知道生成的时候,不要选择加密,这样我们才能改!否则编码过的一堆乱七八糟的……改不来!
天知道运行后生成两个文件,tzd.htm和tzd.js,tzd,htm是用来调用的,tzd.js就是木马代码咯……这些不用说了!
对于tzd.htm这个页面,江民的特征码有包含<head></head>这个标签,只要删除这个标签,江民就不杀了!<head>标签删了并不影响网马的效果!
咔吧对这个标签不感冒,咔吧杀的是tzd.htm中objectid这个f1自定义变量!我们将f1修改成其他你自己定义的变量名就可以了!既然修改了变量,那么所有有调用这个变量的变量名字都要修改过来。修改一下就不杀了!依照上面修改,同时也可以过瑞星,金山以及若顿。
对于tzd.js这个文件,咔吧,金山跟江民一样幼稚,只需要不加密修改一下最后一段的objectid中第一个变量名cn1就可以搞定。
瑞星修改自定义变量htaa和自定义函数exec两处,随便取其他的名字,不会影响到代码!当然同样的,有调用到你所修改过的变量的地方都要改才不会导致网马失效!
所以对tzd.js要过四种杀毒,需要修改 htaa两处,exec两处,cn1两处。简单的说,就是打开tzd.js文件,搜索htaa替换成你自己的字符串,同样,exec,cn1也替换!当然要注意,有时候我们的木马代码里面可能也含有这三个字符串,那是不能修改的,也就是说
<div id="divData"style="display:none;">
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
==</div>
这里面的任何代码都不能动的,我们修改的都是div标签前,以及</div>后的这两段代码!
但是瑞星在生成的ntdelect.hta这个文件时,会报警杀毒,试了几次后便看出,可以在function自定义函数,第一和第二个之间(就是在windows.close和function saveandrun之间)添加一个自定义函数就可以绕过去,编码后的代码如下
function%2520yifan%2528%2529%257B%257D
把这个插入到windows.close和function saveandrun之间就可以。
按照上面的修改后便只差若顿了,若顿的,可以修改data变量,同样,自己找出所有调用data变量的地方改一下,只要记住不是变量名的地方不能乱改就可以过了!于是过若顿,江民,金山,瑞星的免杀网马便诞生咯。当然只能用来糊弄一些菜鸟,否则有点常识的人一看那个跳出来的帮助文件马上动手kill了……
卡巴不知道怎么搞的,生成的hta文件始终报毒,我日!!!把这个文件原封不动的转存一下又不报毒了,但是一旦从网马那里生成出来马上就报毒…………所以,过不了卡巴的网马免杀……若有人知道还要请教一下……
现在有没有啥都不弹的网马?命中率又挺高的那种?介绍介绍,呵呵!
[color=red]现在已经有不弹窗不提示的网马了,前些日子,我进了一个电影网站,一瞬间中了两个IE病毒,三个盗号木马……我最新病毒库的杀毒软件楞是一点动静都没有,什么都查不到。要不是我看着这个网站登录时候有点可疑,动手查杀了那五六个木马,后果真不堪设想……
所以大家以后上网千万也要机灵点,看网页也是会中木马的。中了木马,小则QQ邮箱游戏帐户被盗,重则网上银行帐户密码被盗,个人隐私暴露……后果严重[/color]
