chinese(simple)输入法木马分析
发布时间:2011-03-04 19:30:45作者:知识屋
之前老铁发了一个“chinese(simple)”输入法木马的博客,今天找了样本简单瞄了下,几个特点如下:
1 使用了文件夹图标同时程序描述里面使用了360安全卫士漏洞补丁检测模块的字样;
2 使用了之前被盗号木马疯狂使用的输入法加载方式来自动加载;
3 下载的病毒有包含扫荡波(利用MS08-67漏洞传播的蠕虫),如果局域网里面中招的话就比较悲剧的,印象中有不少的局域网MS08-67这个补丁还没有修补~~。
病毒母体的主要功能
1 将自身安装为输入法并且设置为默认
生成随机名称的log文件到sys32(如 "C:WINDOWSsystem32760924.log")并将自己安装成名为chinese(simple)的输入法
2 API动态加载,貌似可能是为了过安全软件的某些检测功能
所需API都通过LoadLibraryA-GetProcAddress的方式动态调用,同时也看到不少字符串也采用了字符分割的方式来躲避安全软件查杀
/*403078*/ push 0041240C //Kernel32.dll
/*40307D*/ mov byte ptr [esp+8], 50 //这里是函数名称,这里是Process32Next
/*403082*/ mov byte ptr [esp+9], 72
/*403087*/ mov byte ptr [esp+A], 6F
/*40308C*/ mov byte ptr [esp+B], 63
/*403091*/ mov byte ptr [esp+C], cl
/*403095*/ mov byte ptr [esp+D], al
/*403099*/ mov byte ptr [esp+E], al
/*40309D*/ mov byte ptr [esp+F], 33
/*4030A2*/ mov byte ptr [esp+10], 32
/*4030A7*/ mov byte ptr [esp+11], 4E
/*4030AC*/ mov byte ptr [esp+12], cl
/*4030B0*/ mov byte ptr [esp+13], 78
/*4030B5*/ mov byte ptr [esp+14], 74
/*4030BA*/ mov byte ptr [esp+15], 0
/*4030BF*/ call dword ptr [<&kernel32.LoadLibraryA>] //加载Kernel32.dll
/*4030C5*/ mov esi, eax
/*4030C7*/ lea eax, dword ptr [esp+4]
/*4030CB*/ push eax
/*4030CC*/ push esi
/*4030CD*/ call dword ptr [<&kernel32.GetProcAddress>] //获取函数的地址
3 下载其他病毒
下载http://a.敏感词.com/s.gif保存到C:windowsfontsnpt.ini,然后读取npt.ini文件对其进行解码,使用的解码方式也比较简单.(手工的方法可以使用C32ASM打开npt.ini文件,然后选择所有数据以后右键修改数据,然后选择ADD 如下图)
mov cl, [edx+eax]
.text:10001058 80 C1 0A add cl, 0Ah //这里进行解码
.text:1000105B 88 08 mov [eax], cl
.text:1000105D 40 inc eax
.text:1000105E 4E dec esi
.text:1000105F 75 F4 jnz short loc_10001055
.text:10001061 5E pop esi
4 MS08-67,扫荡波病毒值得关注
运行以后以后会不断设置并启动Computer Browser,Workstation两个服务(关闭这两个服务会导致扫荡波触发失败),然后不断的枚举局域网进行攻击。
知识阅读
软件推荐
更多 >
-
1菜鸟简单抓肉鸡(如何抓肉鸡)
2011-06-17
-
2
电脑开机时出现lass.exe进程是病毒吗?
-
3
自拍须谨慎!教你如何通过照片定位查看拍摄地点
-
4
电脑病毒最基础知识
-
5
黑客学员必须了解的C语言技术
-
6
精典详细内网渗透专题文章
-
7
教你破解Tp-Link的无线路由密码
-
8
解决SecureCRT中文显示乱码
-
9
QQ电脑管家和360哪个好?横评实测对比
-
10
攻防实战:无线网络路由入侵过程
