标题:
近期出现大量伪装很隐蔽的灰鸽子2008
[打印本页]
作者:
点饭的百度空间
时间:
2008-3-12 18:22
标题:
近期出现大量伪装很隐蔽的灰鸽子2008
作者: 黄金马甲出租
近期出现一批及其具有伪装性的灰鸽子,这批灰鸽子主要以灰鸽子2008黑客防线贺岁版为主体,经过加加密壳后使用特定的工具进行捆绑(捆绑工具未验证),使程序几乎融合在了一起,给捆绑检测造成了很大的难度。
相关样本连接及其部分分析:hxxp://bbs.kafan.cn/viewthread.php?tid=216771&pid=2990629&page=1&extra=#pid2990629
0012F8FC /CALL 到 ShellExecuteA 来自 Split.0040134C
0012F900 |hWnd = NULL
0012F904 |Operation = "open"
0012F908 |FileName = "C:\DOCUME~1\mp\LOCALS~1\Temp\Split.exe"
0012F90C |Parameters = NULL
0012F910 |DefDir = NULL
0012F914 \IsShown = 1
0012F8F0 /CALL 到 ShellExecuteA 来自 Split.00401363
0012F8F4 |hWnd = NULL
0012F8F8 |Operation = "open"
0012F8FC |FileName = "C:\DOCUME~1\xxx\LOCALS~1\Temp\Test.exe"
0012F900 |Parameters = NULL
0012F904 |DefDir = NULL
0012F908 \IsShown = 1
分析被捆绑体发现该样本具有灰鸽子特征,前几天看过黑防灰鸽子2008(其实就是RemoteABC的修改版,记忆中只是修改了如下的几个字串),具体见以上网址五楼与六楼:
00AF0375 sub dword ptr ds:[eax+eax+AC8128],0AC8144 ASCII "OuOcsUmarJ`Ubd|afg"
00AF0381 sub dword ptr ds:[eax+eax+AC8178],0AC8190 ASCII "L`rTjfsKcCojb"
00AF0391 sub dword ptr ds:[eax+eax+AC81D8],0AC81F0 ASCII "BmmqfKejaic"
00AFA6CC imul ebp,dword ptr ss:[ebp+54],657079 ASCII "N("
样本释放文件名称及其部分信息如下图:
真正的灰鸽子被激活后拷贝为smss.exe执行,添加自启动项:
0012FA28 /CALL 到 CopyFileA
0012FA2C |ExistingFileName = "E:\virus\Test.exe"
0012FA30 |NewFileName = "C:\windows\smss.exe"
0012FA34 \FailIfExists = FALSE
0012FA14 /CALL 到 ShellExecuteA
0012FA18 |hWnd = NULL
0012FA1C |Operation = "open"
0012FA20 |FileName = "C:\windows\smss.exe"
0012FA24 |Parameters = NULL
0012FA28 |DefDir = "C:\windows"
0012FA2C \IsShown = 1
被释放到系统目录的灰鸽子运行后读取配置文件执行灰鸽子功能,具体见微点关于RemoteABC的分析报告:
http://bbs.micropoint.com.cn/showthread.asp?tid=29635&fpage=1
0012FDA8 /CALL 到 FindFirstFileA 来自 00AB725B
0012FDAC |FileName = "C:\Documents and Settings\xxx桌面\Split[1]\aspr_keys.ini"
0012FDB0 \pFindFileData = 0012FDB8
微点对该后门的行为拦截报警如下图:
阻止后会提示删除,放行后行为报后门程序:
以上结果均为Windows XP+SP2实机无还原保护测试,由于样本所加壳的特殊性可能会影响到样本的正常运行,所以测试具有加密壳的样本不推荐使用虚拟机,以免结果的正确性受到阻扰。
作者:
yjwfn502
时间:
2008-3-13 08:58
微点好很强大
作者:
qzzzzq001
时间:
2008-3-14 22:08
很好很强大
作者:
3333522
时间:
2008-3-16 10:49
强烈支持微点
作者:
408983504
时间:
2008-3-18 21:57
很强大~~
欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)
bbs.micropoint.com.cn
