有一些电子邮件带有指向人们破解网站的链接,其中包含恶意软件下载
喜欢这种邮件: 假DHL包站邮件
...链接通常采用以下形式:
http:// www.mandyhank.com /sbfdiqr.php?get_info=ss00_323
http:// sasfamily.com /fpxlcaj.php?get_info=ss00_323
http:// tfdesignsandpcrepair.com /dinwnle.php?get_info=ss00_323
而且,在该站点被关闭或修复之前,使用浏览器访问该站点将下载一个包含 exe 特洛伊木马的 zip 文件。
但试图 wget 或 curl 它得到:
Not Found
The requested URL was not found on this server.
我尝试在 curl 中使用浏览器中相同的用户代理字符串。我怎样才能获得着陆页 HTML 的副本,以便我可以在接下来的过程中遵循它?我怀疑这是 JS 的事情,我的浏览器在禁用 JS 的情况下运行。
该网站似乎只检查用户代理。我尝试了以下
wget --user-agent="Mozilla/5.0 (Windows NT 5.2; rv:2.0.1) Gecko/20100101 Firefox/4.0.1" "http://tfdesignsandpcrepair.com/dinwnle.php?get_info=ss00_323" -O file.zip
它似乎正在工作
一种可能性是,您可能在没有有效用户代理的情况下尝试了很多次,最终服务器阻止了您的 IP,现在无论您的请求如何,它都会给您 404。
更新:是的,这似乎是原因。在 3 次成功尝试下载文件后,服务器开始向我抛出假 404。我使用了代理,我注意到了同样的行为;3 次成功下载,然后是长度为 153 的响应,其中包含:
<html><head><title>404 Not Found</title></head><body>
<h1>Not Found</h1>
<p>The requested URL was not found on this server.</p>
<hr>
</body></html>
它可能不是他们正在查看的用户代理标头,也可能不是他们在确定是否提供页面之前正在查看的唯一标头。如果您从浏览器复制一整套标头,然后将它们全部与请求一起发送,您可能会有更好的机会。
如果可行,那么您可以尝试对标头集进行各种排列,以确定它们正在键入哪些特定标头。
您可以在运行像Burp这样的代理时从浏览器请求页面,这将允许您获取页面的内容。
它还会给你一个有效的请求,你可以在没有浏览器的情况下使用中继器功能重播。
根据 TrendMicro 的分析,这是 Asprox 僵尸网络的一部分。
更多信息:
http ://rebsnippets.blogspot.com/asprox
http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-asprox-reborn.pdf