关于访问某团SRC报毒的简单分析

现在只对常读和星标的公众号才展示大图推送，建议大家把潇湘信安“设为星标”，否则可能看不到了！

0x00 前言

微信内置浏览器和Edge、Chrome等均会报毒，刷新1次报1次，引起了我的好奇心，所以去研究了下。

0x01 分析过程

根据报毒提示在浏览器的缓存目录找到这个缓存文件（每个浏览器缓存目录稍有不同），结果我们在这个文件底部发现确实存在一个中国菜刀.NET一句话木马。

%LOCALAPPDATA%MicrosoftEdgeUser DataDefaultCacheCache_Data

Chrome：

%LOCALAPPDATA%GoogleChromeUser DataDefaultCacheCache_Data

微信内置浏览器：

%APPDATA%TencentWeChatradiumwebprofilesmultitabCacheCache_Data

微信内置浏览器1：

%APPDATA%TencentWeChatradiumwebprofilesmultitab_9720c848233b29215591c3c40663f826CacheCache_Data

翻到文件顶部看到它的文件头为JFIF，这是个图片文件，将这个缓存文件扩展名改为JFIF，可以看到一个狗头的图片，这一看就是某个师傅用的头像...。

我们再去浏览器访问某团SRC官网看下请求，找到这个图片文件为：bac406ed86974777bd5b119fa950c424.jfif，将这个文件下载到本地验证下。

在下图中可以看到这两个文件的大小一致，而且底部都有中国菜刀.NET一句话木马，确定就是它的问题了。

0x02 报毒原因

某团SRC在上传头像时没有对图片进行处理，@白发戴花君莫笑 师傅用的图片一句话木马做头像，浏览器访问首页或荣誉榜页面时就会将他这个头像文件缓存到本地，从而触发Windows Defender报毒。

注：缓存下来的这个图片一句话木马的文件只是在缓存目录下，它没有扩展名，也不在Web目录，所以是不会被解析的，这样的报毒完全没有什么影响。

 还在等什么？赶紧点击下方名片开始学习吧！

推 荐 阅 读

原文始发于微信公众号（潇湘信安）：关于访问某团SRC报毒的简单分析