微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 主动防御 » 近期出现大量伪装很隐蔽的灰鸽子2008  

作者:
标题: 近期出现大量伪装很隐蔽的灰鸽子2008
点饭的百度空间
银牌会员




积分 2315
发帖 2236
注册 2007-11-30
#1  近期出现大量伪装很隐蔽的灰鸽子2008



作者: 黄金马甲出租

近期出现一批及其具有伪装性的灰鸽子,这批灰鸽子主要以灰鸽子2008黑客防线贺岁版为主体,经过加加密壳后使用特定的工具进行捆绑(捆绑工具未验证),使程序几乎融合在了一起,给捆绑检测造成了很大的难度。

相关样本连接及其部分分析:hxxp://bbs.kafan.cn/viewthread.php?tid=216771&pid=2990629&page=1&extra=#pid2990629



0012F8FC /CALL 到 ShellExecuteA 来自 Split.0040134C
0012F900 |hWnd = NULL
0012F904 |Operation = "open"
0012F908 |FileName = "C:\DOCUME~1\mp\LOCALS~1\Temp\Split.exe"
0012F90C |Parameters = NULL
0012F910 |DefDir = NULL
0012F914 \IsShown = 1

0012F8F0 /CALL 到 ShellExecuteA 来自 Split.00401363
0012F8F4 |hWnd = NULL
0012F8F8 |Operation = "open"
0012F8FC |FileName = "C:\DOCUME~1\xxx\LOCALS~1\Temp\Test.exe"
0012F900 |Parameters = NULL
0012F904 |DefDir = NULL
0012F908 \IsShown = 1

分析被捆绑体发现该样本具有灰鸽子特征,前几天看过黑防灰鸽子2008(其实就是RemoteABC的修改版,记忆中只是修改了如下的几个字串),具体见以上网址五楼与六楼:

00AF0375 sub dword ptr ds:[eax+eax+AC8128],0AC8144                ASCII "OuOcsUmarJ`Ubd|afg"
00AF0381 sub dword ptr ds:[eax+eax+AC8178],0AC8190                ASCII "L`rTjfsKcCojb"
00AF0391 sub dword ptr ds:[eax+eax+AC81D8],0AC81F0                ASCII "BmmqfKejaic"
00AFA6CC imul ebp,dword ptr ss:[ebp+54],657079                   ASCII "N("

样本释放文件名称及其部分信息如下图:





真正的灰鸽子被激活后拷贝为smss.exe执行,添加自启动项:



0012FA28   /CALL 到 CopyFileA
0012FA2C   |ExistingFileName = "E:\virus\Test.exe"
0012FA30   |NewFileName = "C:\windows\smss.exe"
0012FA34   \FailIfExists = FALSE

0012FA14 /CALL 到 ShellExecuteA
0012FA18 |hWnd = NULL
0012FA1C |Operation = "open"
0012FA20 |FileName = "C:\windows\smss.exe"
0012FA24 |Parameters = NULL
0012FA28 |DefDir = "C:\windows"
0012FA2C \IsShown = 1

被释放到系统目录的灰鸽子运行后读取配置文件执行灰鸽子功能,具体见微点关于RemoteABC的分析报告:http://bbs.micropoint.com.cn/showthread.asp?tid=29635&fpage=1

0012FDA8   /CALL 到 FindFirstFileA 来自 00AB725B
0012FDAC   |FileName = "C:\Documents and Settings\xxx桌面\Split[1]\aspr_keys.ini"
0012FDB0   \pFindFileData = 0012FDB8

微点对该后门的行为拦截报警如下图:



阻止后会提示删除,放行后行为报后门程序:



以上结果均为Windows XP+SP2实机无还原保护测试,由于样本所加壳的特殊性可能会影响到样本的正常运行,所以测试具有加密壳的样本不推荐使用虚拟机,以免结果的正确性受到阻扰。

※ ※ ※ 本文纯属【点饭的百度空间】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-3-12 18:22
查看资料  发送邮件  访问主页  发短消息   编辑帖子
yjwfn502
新手上路





积分 14
发帖 14
注册 2008-3-10
#2  

微点好很强大

※ ※ ※ 本文纯属【yjwfn502】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-3-13 08:58
查看资料  发送邮件  发短消息   编辑帖子
qzzzzq001
新手上路





积分 11
发帖 11
注册 2008-2-24
#3  

很好很强大

※ ※ ※ 本文纯属【qzzzzq001】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-3-14 22:08
查看资料  发送邮件  发短消息   编辑帖子
3333522
新手上路

新手上路



积分 29
发帖 29
注册 2006-2-19
#4  

强烈支持微点

※ ※ ※ 本文纯属【3333522】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-3-16 10:49
查看资料  发短消息   编辑帖子
408983504
银牌会员

此用户已被禁言


积分 1271
发帖 1238
注册 2007-1-6
来自 广东
#5  

很强大~~

※ ※ ※ 本文纯属【408983504】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

三用户版续费真TM的便宜啊!
2008-3-18 21:57
查看资料  发送邮件  发短消息  QQ   编辑帖子



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号