热门关键字:   网站安全  黑客攻防  安全漏洞  系统安全  网络安全
站外
广告
域名申请虚拟主机 信息安全 域名注册 云主机 网络安全技术 企业网络安全 站外
广告
文字广告位招租 文字广告位招租 文字广告位招租 文字广告位招租 云安全

chinese(simple)输入法木马分析

发布时间:2010-10-23 10:04文章来源:网络文章作者:秩名 点击次数:
摘要:之前老铁发了一个 chinese(simple)输入法木马 的博客,今天找了样本简单瞄了下,几个特点如下: 1 使用了文件夹图标同时程序描述里面使用了360安全卫士漏洞补丁检测模块的字样; 2 使用了之前被盗号木马疯狂使用的输入法加载方式来自动加载; 3 下载的病毒有...

之前老铁发了一个“chinese(simple)”输入法木马的博客,今天找了样本简单瞄了下,几个特点如下:

1 使用了文件夹图标同时程序描述里面使用了360安全卫士漏洞补丁检测模块的字样;
2 使用了之前被盗号木马疯狂使用的输入法加载方式来自动加载;
3 下载的病毒有包含扫荡波(利用MS08-67漏洞传播的蠕虫),如果局域网里面中招的话就比较悲剧的,印象中有不少的局域网MS08-67这个补丁还没有修补~~。




病毒母体的主要功能

1  将自身安装为输入法并且设置为默认

生成随机名称的log文件到sys32(如 "C:\WINDOWS\system32\760924.log")并将自己安装成名为chinese(simple)的输入法

2  API动态加载,貌似可能是为了过安全软件的某些检测功能

所需API都通过LoadLibraryA-GetProcAddress的方式动态调用,同时也看到不少字符串也采用了字符分割的方式来躲避安全软件查杀


/*403078*/  push    0041240C               //Kernel32.dll
/*40307D*/  mov     byte ptr [esp+8], 50   //这里是函数名称,这里是Process32Next
/*403082*/  mov     byte ptr [esp+9], 72
/*403087*/  mov     byte ptr [esp+A], 6F
/*40308C*/  mov     byte ptr [esp+B], 63
/*403091*/  mov     byte ptr [esp+C], cl
/*403095*/  mov     byte ptr [esp+D], al
/*403099*/  mov     byte ptr [esp+E], al
/*40309D*/  mov     byte ptr [esp+F], 33
/*4030A2*/  mov     byte ptr [esp+10], 32
/*4030A7*/  mov     byte ptr [esp+11], 4E
/*4030AC*/  mov     byte ptr [esp+12], cl
/*4030B0*/  mov     byte ptr [esp+13], 78
/*4030B5*/  mov     byte ptr [esp+14], 74
/*4030BA*/  mov     byte ptr [esp+15], 0
/*4030BF*/  call    dword ptr [<&kernel32.LoadLibraryA>] //加载Kernel32.dll
/*4030C5*/  mov     esi, eax
/*4030C7*/  lea     eax, dword ptr [esp+4]
/*4030CB*/  push    eax
/*4030CC*/  push    esi
/*4030CD*/  call    dword ptr [<&kernel32.GetProcAddress>] //获取函数的地址

3 下载其他病毒

下载http://a.敏感词.com/s.gif保存到C:\windows\fonts\npt.ini,然后读取npt.ini文件对其进行解码,使用的解码方式也比较简单.(手工的方法可以使用C32ASM打开npt.ini文件,然后选择所有数据以后右键修改数据,然后选择ADD 如下图)

mov     cl, [edx+eax]
.text:10001058 80 C1 0A                              add     cl, 0Ah       //这里进行解码
.text:1000105B 88 08                                    mov     [eax], cl
.text:1000105D 40                                        inc     eax
.text:1000105E 4E                                        dec     esi
.text:1000105F 75 F4                                   jnz     short loc_10001055
.text:10001061 5E                                         pop     esi







4 MS08-67,扫荡波病毒值得关注

运行以后以后会不断设置并启动Computer Browser,Workstation两个服务(关闭这两个服务会导致扫荡波触发失败),然后不断的枚举局域网进行攻击



 

标签分类: 反木马

上一篇:网页木马分析自动化的小技巧
下一篇:分析了解网页中IFRAME框架挂马