2006年07月15日

已经正式落户百度空间。欢迎大家访问!

http://hi.baidu.com/daishuo

 

2006年04月26日

cih_AUTHOR

; ********************************************************************
; * The Virus Program Information                                    *
; ********************************************************************
; *                                                                  *
; * Designer : CIH Original Place : TTIT of Taiwan                   *
; * Create Date : 04/26/1998 Now Version : 1.2                       *
; * Modification Time : 05/21/1998                                   *
; *                                                                  *
; *==================================================================*
; * Modification History                                             *
; *==================================================================*
; * v1.0 1. Create the Virus Program.                                *
; * 2. The Virus Modifies IDT to Get Ring0 Privilege.                *
; * 04/26/1998 3. Virus Code doesn't Reload into System.             *
; * 4. Call IFSMgr_InstallFileSystemApiHook to Hook File System.     *
; * 5. Modifies Entry Point of IFSMgr_InstallFileSystemApiHook.      *
; * 6. When System Opens Existing PE File, the File will be          *
; * Infected, and the File doesn't be Reinfected.                    *
; * 7. It is also Infected, even the File is Read-Only.              *
; * 8. When the File is Infected, the Modification Date and Time     *
; * of the File also don't be Changed.                               *
; * 9. When My Virus Uses IFSMgr_Ring0_FileIO, it will not Call      *
; * Previous FileSystemApiHook, it will Call the Function            *
; * that the IFS Manager Would Normally Call to Implement            *
; * this Particular I/O Request.                                     *
; * 10. The Virus Size is only 656 Bytes.                            *
; *==================================================================*
; * v1.1 1. Especially, the File that be Infected will not Increase  *
; * it's Size... ^__^                                                *
; * 05/15/1998 2. Hook and Modify Structured Exception Handing.      *
; * When Exception Error Occurs, Our OS System should be in          *
; * Windows NT. So My Cute Virus will not Continue to Run,           *
; * it will Jmup to Original Application to Run.                     *
; * 3. Use Better Algorithm, Reduce Virus Code Size.                 *
; * 4. The Virus "Basic" Size is only 796 Bytes.                     *
; *==================================================================*
; * v1.2 1. Kill All HardDisk, and BIOS... Super... Killer...        *
; * 2. Modify the Bug of v1.1                                        *
; * 05/21/1998 3. The Virus "Basic" Size is 1003 Bytes.              *
; ********************************************************************

     24号下班前,收到小陌的MSN消息,关于P2P-Worm.Win32.Polipos.a这个病毒的。惭愧得很,前2周一直在做项目开发,病毒分析工作扔下了,以致在小陌给我发信息前,都没有听说过这个病毒。病毒资料在小陌的blog上已经有了,白天我看了一下这个毒,主要目的是查杀。
     Polipos这个病毒用了变形引擎,每次感染的代码和数据都不同。我看了10分钟左右,觉得写一个搞定变形引擎的模块,工作量至少要2、3天。所以暂停了对变形代码的跟踪。在虚拟机里运行病毒,得到了几个感染样本。从感染样本中总结规律:
1、从被感染的样本来看,比原来多了一个节,节名为8个0字节,大小不定,60K左右,节属性为0xe0000060。
2、病毒用了EPO,替换原程序中对某个API的调用指令(call ds:[API地址]),用相对地址调用的方式(call virus_Entry)进入病毒入口函数。被替换的API是随机选择的,源程序中所有call ds:[API地址]语句都被替换了。
3、病毒入口函数是变形的,但最初几条语句总是:
push ebp
mov  ebp, esp
sub  esp, ??
pusha

      对Polipos.a病毒进行检测,可以从下面几点入手:
step 1、根据新增病毒节的特征,可以快速排除绝大多数正常程序;
step 2、读取病毒节数据,根据病毒入口函数初始代码的特点,全文扫描可能的病毒入口地址;
step 3、读取代码节(程序入口所在节)数据,全文扫描对可能病毒入口的调用语句。
      根据后来的实验显示,step 2找到的可能入口大约在15~25个,记录这些可能入口地址的包围盒(最大最小值)可以大幅优化step 3的执行速度。step 3可能找到多个调用语句,只选取最先找到的一个(因为病毒会在代码节后面的空隙处插入代码)。
     step 3结果不为空的样本,足以判断是病毒,误报率也应接近于0。

      通过检测模块,可以确定病毒入口地址。最基本的修复工作是:将程序中所有对病毒入口的调用语句还原成对API的调用。这里最大的难题在于,如果不搞定变形引擎,无法直接知道病毒替换了对哪个API的调用语句。
有一种间接方案可以考虑:
step 1、遍历Import表,记录所有API的位置;
step 2、全文扫描代码节,记录对各个API的引用情况;
step 3、如果step 2结果显示存在且仅存在1个未被引用的API,那么这个API就是被病毒替换的。
      需要说明的是step 2,通常编译器生成的调用API的代码有下面3种方式:
#1, call ds:[API地址]
#2, mov reg32, ds:[API地址]
    call reg32
#3, call jmp_API
  jmp_API:
    jmp ds:[API地址]
     实验证明,对于病毒样本,step 3有时会找不到未被引用的API,这个概率接近15%。原因是编译器生成的代码中,对同一API可能应用不同方式的调用代码,而病毒替换的只是call ds:[API地址]这一种方式而已。
约15%清除失败的概率,使得本文描述的解决方案只能成为“初步”方案。这个初步方案的最大好处是完全绕开了变形引擎,因此实现起来工作量较小。代码完成,400行左右的规模,准备随KV 4月26日上午升级入库。

2006年04月04日

 













昨日病毒









统计时段


2006-4-3































病毒样本上报数排行

 









样本文件名

上报次数










mssave.exe

562










extrmous.exe

528










explore.exe

497










guest.exe

245










phost.exe

218










lup.exe

184










mssvcc.exe

146










newname8.exe

140










mousepad8.exe

113










winsystems.exe

108










keyboard8.exe

71



技术分析
















mssave.exe Backdoor/Agobot.chy



大小99K,经过MEW压缩处理。

 

1、病毒运行后,将自身复制到%SystemDir%文件夹,文件名随机。并在注册表创建启动项,指向病毒程序,如:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“Microsoft System Saver”=”flcnfm.exe”

 

2、结束多种安全软件和病毒的进程,通过修改hosts文件,屏蔽多个安全网站

3、尝试连接多个IRC服务器接收黑客命令,这些IRC服务器有:

paper.no-ip.biz
holdon.dyndns.org
casi.blogdns.com
comevisit.mentalstate.info
itsthat.mentalstate.info
whore.3xperienced.info
urknot.3xperienced.info
todayis.w33d420.be
digital.w33d420.be
hittin.w33d420.be
billysmells.micr0s0cks.info
buysome.micr0s0cks.info
yes.micr0s0cks.info
udontknow.makaveli7.be
philosophe.makaveli7.be
amalive.makaveli7.be
tupac.makaveli7.be

 

4、具有反调试功能,可以自动检测SoftICE、VMWare等环境,并向IRC服务器报告,有助于黑客屏蔽IP。

 

5、通过多种漏洞传播。传播过程中发送大量数据包,可造成染毒计算机运行速度下降,局域网拥堵。

 


















extrmous.exe Backdoor/Agobot.chv



1、病毒运行后,将创建下列文件:
%SystemDir%\extrmous.exe, 262656字节


2、在注册表中添加下列启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“Mouse Adaptor” = extrmous.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
“Mouse Adaptor” = extrmous.exe
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“Mouse Adaptor” = extrmous.exe
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
“Mouse Adaptor” = extrmous.exe
这样,在Windows启动时,病毒就可以自动执行。

 

3、连接IRC服务器n2.exceed-speed.info接收并执行黑客命令。

4、通过多种系统漏洞传播,可造成中毒计算机运行速度下降,局域网拥堵。

 

botnet:

n2.exceed-speed.info:10002

PASS sooperdooper

JOIN #nextone# superbots

 


















explore.exe Backdoor/Agobot.chw



1、病毒运行后,将创建下列文件:
%SystemDir%\explore.exe, 111616字节
2、在注册表中添加下列启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“1337 virus” = explore.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
“1337 virus” = explore.exe
这样,在Windows启动时,病毒就可以自动执行。

3、连接IRC服务器irc.kr3wzb4se.info接收并执行黑客命令。
4、通过多种系统漏洞传播,可造成中毒计算机运行速度下降,局域网拥堵。

 


















guest.exe Trojan/Delf.kp



1、病毒运行后,将创建下列文件:
%SystemDir%\intasks.exe, 25671字节
%SystemDir%\msinetes.inf, 309字节
%SystemDir%\msinetes.pnf, 3304字节
%SystemDir%\svchest.exe, 15872字节
%SystemDir%\winpub.reg, 540字节

2、在注册表中添加下列启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“MSService” = svchest.exe
这样,在Windows启动时,svchest.exe就可以自动执行。

 

3、建立下面服务:

服务名称:Msisvr

服务描述:管理Internet 信息服务管理以及NetBIOS 名称解析的支持。

服务程序:%SystemDir%\INTasks.exe

这样,在Windows启动时,INTasks.exe就可以自动运行。

 

4、svchest.exe运行后,设置IE主页、搜索页地址为http://xp2006.3322.org;自动打开网页http://www.71791.com, http://www.71791.com/news, http://www.71791.com/goodvip, http://www.71791.com/mm;下载并执行http://xingz.3322.org/images/guest.exe

 

5、INTasks.exe运行后,负责恢复1、2、3中的病毒文件、注册表数据和服务信息。

 


















phost.exe TrojanProxy.Ranky.dn



木马代理,大小176K,经Asprotect加壳处理。

1、病毒运行后,在注册表中添加下列启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“syshost.exe” = phost.exe
这样,在Windows启动时,病毒就可以自动执行。
2、开启后门代理端口,可供黑客远程使用,成为黑客进行黑客活动的跳板。





















lup.exe Backdoor.Agobot
mssvcc.exe Backdoor.Agobot



高波病毒的变种,详细分析报告请参考“昨日病毒(2006.03.13)”中关于lup.exe/mssvcc.exe早先变种的报告。

 
























newname8.exe TrojanDownloader.VB.jr
mousepad8.exe TrojanClicker.Small.gdh
keyboard8.exe TrojanDownloader.VB.jq


keyboard8.exe是个木马下载器。
运行后,首先向一个网络asp脚本提交新增感染报告,提交形式如下:
http://www.nonameforthisdomain.com/teller2.asp?rnd=[随机数]
然后获得一个要下载程序的列表:
http://www.nonameforthisdomain.com/data.asp?rnd=[随机数]&antisp=1
当前下载列表的内容如下:
http://content.dollarrevenue.com/keyboard8.exe,就是keyboard2.exe本身
http://content.dollarrevenue.com/mousepad8.exe,一个广告点击程序,可能弹出广告窗口
http://content.dollarrevenue.com/newname8.exe,木马下载器


















winsystems.exe Backdoor/Agobot.chx



1、病毒运行后,将创建下列文件:
%SystemDir%\winsystems.exe, 80842字节
2、在注册表中添加下列启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“winsystems25″ = winsystems.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
“winsystems25″ = winsystems.exe
这样,在Windows启动时,病毒就可以自动执行。
3、连接IRC服务器boughtem.nowslate1703.info,接收并执行黑客命令

4、通过多种系统漏洞传播,传播过程中发送大量数据包,可造成中毒计算机运行速度下降,局域网拥堵。

 

botnet:

boughtem.nowslate1703.info:22430

JOIN ##ploit,##ploit2 he he

 



本篇文章使用aigaogao Blog软件发布, “我的Blog要备份”

2006年04月01日

前些日子接到网友线报,反映有些人在QQ信息说明中打着色情交友的幌子传播病毒。当时好歹看了一下,然后就开始忙CMMI的工作,没有写到blog上。今天CMMI终于过了,突然想起这事来,补发一篇,希望能给那些用下半身思考的男性网友们提个醒,不要轻易上当 :-|

1、有几个QQ号的说明文字都包含下面字样“本人诚征男人一名……本人相册可供参考http://takephoto.ys168.com”。网址是一个永硕网络硬盘,上面有“我的照片!嘻嘻.scr”文件下载,该文件运行后,会显示一幅女孩图片,并释放出灰鸽子病毒。

girl_gbird

2、有人打着网络视频的幌子传播病毒。我把网友提供的QQ号加为好友,下面是一段QQ聊天记录:

girl_chat

接收下来的所谓“视频冲浪观看软件.rar”实际上就是一个虚假的说明文档和一个灰鸽子2006病毒。

recvd_gbird

2006年03月27日

IE的createTextRange漏洞已经出来几天了。这个漏洞的利用代码依然会分配大量内存,总得来说,可以远程代码执行,自然是严重等级的漏洞,但利用起来代价很大,512M内存的机器上跑的话,也需要1~2分钟才会运行shellcode,所以今后它的泛滥程度会远低于WMF/HHCTRL/MHTML等漏洞。

在这里,转载一个利用createTextRange漏洞的文件下载木马生成器的源码,供从事系统安全的朋友们娱乐。其实,大家可能早就baidu到一些了,呵呵。

2006年03月26日














昨日病毒









统计时段


2006-3-24



















病毒样本上报数排行

 









样本文件名

上报次数










icntrl.exe

222










lup.exe

149










mssvcc.exe

130










wuass32.exe

93










mssm32.exe

86



技术分析
















icntrl.exe Backdoor/Agobot



1、大小220K~240K左右,是个高波病毒变种。运行后,建立下面文件:

%SystemDir%\icntrl.exe

创建服务:NtDIC,服务描述:Nt network domain internet connectivity checker.

服务程序指向icntrl.exe。这样病毒可以随Windows系统自动启动。

 

2、通过多种系统漏洞传播,在传播过程中,会扫描局域网内的计算机,发送大量数据包,造成中毒计算机CPU占用率很高,局域网拥堵。

 

3、连接IRC服务器frayedendsofsanity.be接收并执行黑客命令。

 

botnet:

frayedendsofsanity.be:5599

##meth metal

 





















lup.exe Backdoor/Agobot
mssvcc.exe Backdoor/Agobot



这2个是高波的变种,请参考昨日病毒(2006.03.16-03.17)和昨日病毒(3月13日)

 


















mssm32.exe TrojanProxy.Agent



1、病毒运行后,将创建下列文件:
%SystemDir%\mssm32.exe, 21253字节
在注册表中添加下列启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“Microsoft (R) Windows Security Manager” = %SystemDir%\mssm32.exe
这样,在Windows启动时,病毒就可以自动执行。

 

2、打开后门代理TCP端口24027,可供黑客远程使用,作为跳板,进行黑客行为。

 

3、感染计算机后,向sophos.inlandloan.com发送UPD包,报告感染信息。

 


















wuass32.exe TrojanProxy.Agent



1、病毒运行后,将创建下列文件:
%SystemDir%\wuass32.exe, 21953字节
在注册表中添加下列启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“Microsoft (R) User Authorization Service” = %SystemDir%\wuass32.exe
这样,在Windows启动时,病毒就可以自动执行。

 

2、打开后门代理TCP端口3557,可供黑客远程使用,作为跳板,进行黑客行为。

 




 

本篇文章使用aigaogao Blog软件发布, “我的Blog要备份”

2006年03月24日

 













昨日病毒









统计时段


2006-3-23

















病毒样本上报数排行

 









样本文件名

上报次数










newname5.exe

197










mousepad5.exe

194










keyboard5.exe

164










dpnss32.exe

113



技术分析






















newname5.exe TrojanDownloader
mousepad5.exe TrojanClicker
keyboard5.exe TrojanDownloader


和以前描述过的keyboard2.exe, keyboard3.exe, keyboard4.exe功能类似,是个变种。
keyboard5.exe是个木马下载器。
运行后,首先向一个网络asp脚本提交新增感染报告,提交形式如下:
http://www.nonameforthisdomain.com/teller2.asp?rnd=[随机数]
然后获得一个要下载程序的列表:
http://www.nonameforthisdomain.com/data.asp?rnd=[随机数]&antisp=1
当前下载列表的内容如下:
http://content.dollarrevenue.com/keyboard5.exe,就是keyboard5.exe本身
http://content.dollarrevenue.com/mousepad5.exe,一个广告点击程序,可能弹出广告窗口
http://content.dollarrevenue.com/newname5.exe,木马下载器


















dpnss32.exe TrojanProxy.Ranky



病毒运行后,将创建下列文件:
%SystemDir%\dpnss32.exe, 21257字节
在注册表中添加下列启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“Microsoft (R) Windows Data Execution Prevention Service” = %SystemDir%\dpnss32.exe
这样,在Windows启动时,病毒就可以自动执行。

开启后门代理端口TCP 7328, 黑客可以远程使用这些代理端口,将被感染计算机作为跳板(代理),进行黑客活动。

 



本篇文章使用aigaogao Blog软件发布, “我的Blog要备份”

 













昨日病毒









统计时段


2006-3-22













病毒样本上报数排行

 









样本文件名

上报次数










313.exe

175










iplus.exe

94



技术分析
















313.exe Backdoor/SdBot.cxe



1、病毒运行后,将创建下列文件:
%SystemDir%\313.exe, 82709字节
在注册表中添加下列启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“Microsoft System” = 313.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
“Microsoft System” = 313.exe
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“Microsoft System” = 313.exe
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
“Microsoft System” = 313.exe
这样,在Windows启动时,病毒就可以自动执行。

 

2、利用多种系统漏洞进行传播。会扫描局域网内存在漏洞的计算机,发送大量数据包,可以造成局域网拥堵甚至瘫痪。
 
3、连接irc服务器221.2.51.204:65146,接收黑客命令。
botnet:
221.2.51.204:65146
#google g00gle

 


















iplus.exe TrojanDownloader



一个下载器,运行后首先从http://www.yeacool.net/update/update.txt得到要下载的程序列表,然后下载并运行列表上的网络程序。会安装播霸、Vika阅读器、快搜IE插件等。

 



本篇文章使用aigaogao Blog软件发布, “我的Blog要备份”

 













昨日病毒









统计时段


2006-3-20

















病毒样本上报数排行

 









样本文件名

上报次数










bmnss.exe

217










mousepad4.exe

151










newname4.exe

150










keyboard4.exe

108



技术分析
















bmnss.exe Backdoor/Agobot



1、病毒运行后,将创建下列文件:
%SystemDir%\bmnss.exe, 257024字节
在注册表中添加下列启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“Critical Runtime Indexer” = bmnss.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
“Critical Runtime Indexer” = bmnss.exe
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“Critical Runtime Indexer” = bmnss.exe
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
“Critical Runtime Indexer” = bmnss.exe
这样,在Windows启动时,病毒就可以自动执行。

 

2、利用多种系统漏洞进行传播。会扫描局域网内存在漏洞的计算机,发送大量数据包,可以造成局域网拥堵甚至瘫痪。
 
3、连接irc服务器64.33.201.123:6522,接收黑客命令。
botnet:
64.33.201.123:6522 nubbie
#oldone# oldboot
























mousepad4.exe TrojanDownloader
newname4.exe TrojanClicker
keyboard4.exe TrojanDownloader


和以前描述过的keyboard2.exe, keyboard3.exe功能类似,是个变种。
keyboard4.exe是个木马下载器。
运行后,首先向一个网络asp脚本提交新增感染报告,提交形式如下:
http://www.nonameforthisdomain.com/teller2.asp?rnd=[随机数]
然后获得一个要下载程序的列表:
http://www.nonameforthisdomain.com/data.asp?rnd=[随机数]&antisp=1
当前下载列表的内容如下:
http://content.dollarrevenue.com/keyboard4.exe,就是keyboard4.exe本身
http://content.dollarrevenue.com/mousepad4.exe,一个广告点击程序,可能弹出广告窗口
http://content.dollarrevenue.com/newname4.exe,木马下载器



本篇文章使用aigaogao Blog软件发布, “我的Blog要备份”