1.反病毒
病毒资讯;技术分析、预测
; ********************************************************************
; * The Virus Program Information *
; ********************************************************************
; * *
; * Designer : CIH Original Place : TTIT of Taiwan *
; * Create Date : 04/26/1998 Now Version : 1.2 *
; * Modification Time : 05/21/1998 *
; * *
; *==================================================================*
; * Modification History *
; *==================================================================*
; * v1.0 1. Create the Virus Program. *
; * 2. The Virus Modifies IDT to Get Ring0 Privilege. *
; * 04/26/1998 3. Virus Code doesn't Reload into System. *
; * 4. Call IFSMgr_InstallFileSystemApiHook to Hook File System. *
; * 5. Modifies Entry Point of IFSMgr_InstallFileSystemApiHook. *
; * 6. When System Opens Existing PE File, the File will be *
; * Infected, and the File doesn't be Reinfected. *
; * 7. It is also Infected, even the File is Read-Only. *
; * 8. When the File is Infected, the Modification Date and Time *
; * of the File also don't be Changed. *
; * 9. When My Virus Uses IFSMgr_Ring0_FileIO, it will not Call *
; * Previous FileSystemApiHook, it will Call the Function *
; * that the IFS Manager Would Normally Call to Implement *
; * this Particular I/O Request. *
; * 10. The Virus Size is only 656 Bytes. *
; *==================================================================*
; * v1.1 1. Especially, the File that be Infected will not Increase *
; * it's Size... ^__^ *
; * 05/15/1998 2. Hook and Modify Structured Exception Handing. *
; * When Exception Error Occurs, Our OS System should be in *
; * Windows NT. So My Cute Virus will not Continue to Run, *
; * it will Jmup to Original Application to Run. *
; * 3. Use Better Algorithm, Reduce Virus Code Size. *
; * 4. The Virus "Basic" Size is only 796 Bytes. *
; *==================================================================*
; * v1.2 1. Kill All HardDisk, and BIOS... Super... Killer... *
; * 2. Modify the Bug of v1.1 *
; * 05/21/1998 3. The Virus "Basic" Size is 1003 Bytes. *
; ********************************************************************
24号下班前,收到小陌的MSN消息,关于P2P-Worm.Win32.Polipos.a这个病毒的。惭愧得很,前2周一直在做项目开发,病毒分析工作扔下了,以致在小陌给我发信息前,都没有听说过这个病毒。病毒资料在小陌的blog上已经有了,白天我看了一下这个毒,主要目的是查杀。
Polipos这个病毒用了变形引擎,每次感染的代码和数据都不同。我看了10分钟左右,觉得写一个搞定变形引擎的模块,工作量至少要2、3天。所以暂停了对变形代码的跟踪。在虚拟机里运行病毒,得到了几个感染样本。从感染样本中总结规律:
1、从被感染的样本来看,比原来多了一个节,节名为8个0字节,大小不定,60K左右,节属性为0xe0000060。
2、病毒用了EPO,替换原程序中对某个API的调用指令(call ds:[API地址]),用相对地址调用的方式(call virus_Entry)进入病毒入口函数。被替换的API是随机选择的,源程序中所有call ds:[API地址]语句都被替换了。
3、病毒入口函数是变形的,但最初几条语句总是:
push ebp
mov ebp, esp
sub esp, ??
pusha
对Polipos.a病毒进行检测,可以从下面几点入手:
step 1、根据新增病毒节的特征,可以快速排除绝大多数正常程序;
step 2、读取病毒节数据,根据病毒入口函数初始代码的特点,全文扫描可能的病毒入口地址;
step 3、读取代码节(程序入口所在节)数据,全文扫描对可能病毒入口的调用语句。
根据后来的实验显示,step 2找到的可能入口大约在15~25个,记录这些可能入口地址的包围盒(最大最小值)可以大幅优化step 3的执行速度。step 3可能找到多个调用语句,只选取最先找到的一个(因为病毒会在代码节后面的空隙处插入代码)。
step 3结果不为空的样本,足以判断是病毒,误报率也应接近于0。
通过检测模块,可以确定病毒入口地址。最基本的修复工作是:将程序中所有对病毒入口的调用语句还原成对API的调用。这里最大的难题在于,如果不搞定变形引擎,无法直接知道病毒替换了对哪个API的调用语句。
有一种间接方案可以考虑:
step 1、遍历Import表,记录所有API的位置;
step 2、全文扫描代码节,记录对各个API的引用情况;
step 3、如果step 2结果显示存在且仅存在1个未被引用的API,那么这个API就是被病毒替换的。
需要说明的是step 2,通常编译器生成的调用API的代码有下面3种方式:
#1, call ds:[API地址]
#2, mov reg32, ds:[API地址]
call reg32
#3, call jmp_API
jmp_API:
jmp ds:[API地址]
实验证明,对于病毒样本,step 3有时会找不到未被引用的API,这个概率接近15%。原因是编译器生成的代码中,对同一API可能应用不同方式的调用代码,而病毒替换的只是call ds:[API地址]这一种方式而已。
约15%清除失败的概率,使得本文描述的解决方案只能成为“初步”方案。这个初步方案的最大好处是完全绕开了变形引擎,因此实现起来工作量较小。代码完成,400行左右的规模,准备随KV 4月26日上午升级入库。
摘要:4月3日上报次数较多的样本有:
mssave.exe -------- 562;
extrmous.exe -------- 528;
explore.exe -------- 497;
guest.exe -------- 245;
phost.exe -------- 218;
lup.exe -------- 184;
mssvcc.exe -------- 146;
newname8.exe -------- 140;
mousepad8.exe -------- 113;
winsystems.exe -------- 108;
keyboard8.exe -------- 71;
请进入全文查看它们的技术报告。 (全文共64663字)——点击
此处阅读全文
摘要: 前些日子接到网友线报,反映有些人在QQ信息说明中打着色情交友的幌子传播病毒。当时好歹看了一下,然后就开始忙CMMI的工作,没有写到blog上。今天CMMI终于过了,突然想起这事来,补发一篇,希望能给那些用下半身思考的男性网友们提个醒,不要轻易上当 :-|
(全文共905字)——点击
此处阅读全文
摘要:3月23日上报次数较多的样本如下:
icntrl.exe -------- 222;
lup.exe -------- 149;
mssvcc.exe -------- 130;
wuass32.exe -------- 93;
mssm32.exe -------- 86;
请进入全文查看它们的技术报告。 (全文共31954字)——点击
此处阅读全文
摘要:3月23日上报次数较多的样本有:
newname5.exe -------- 197;
mousepad5.exe -------- 194;
keyboard5.exe -------- 164;
dpnss32.exe -------- 113;
请进入全文查看它们的分析报告。 (全文共24394字)——点击
此处阅读全文
摘要:3月22日上报次数较多的样本有:
313.exe -------- 175;
iplus.exe -------- 94;
请进入全文查看它们的分析报告。 (全文共17109字)——点击
此处阅读全文
摘要:3月20日上报次数较多的样本有:
bmnss.exe -------- 217;
mousepad4.exe -------- 151;
newname4.exe -------- 150;
keyboard4.exe -------- 108;
请进入全文查看它们的分析报告。 (全文共24885字)——点击
此处阅读全文
上图是一个vb木马显示的窗口,该窗口背景图片是幅截图,就是xx网上银行的登录页面。木马监视当前用户窗口的标题文字,一旦发现用户正在使用IE浏览器登录此页面,立即关闭IE窗口,并弹出自己的虚假登录窗口,诱骗用户在木马窗口上输入卡号和密码。随即把截到的内容发送至病毒作者信箱。