<![CDATA[加糖苦咖啡]]> http://daishuo.bokee.com/index.html ]]> zh-cn daishuo 2006-04-01T02:33:30Z <![CDATA[灰鸽子和网络色情钓鱼]]> http://daishuo.bokee.com/4780879.html &nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 前些日子接到网友线报,反映有些人在QQ信息说明中打着色情交友的幌子传播病毒。当时好歹看了一下,然后就开始忙CMMI的工作,没有写到blog上。今天CMMI终于过了,突然想起这事来,补发一篇,希望能给那些用下半身思考的男性网友们提个醒,不要轻易上当 :-|

1、有几个QQ号的说明文字都包含下面字样“本人诚征男人一名……本人相册可供参考http://takephoto.ys168.com”。网址是一个永硕网络硬盘,上面有“我的照片!嘻嘻.scr”文件下载,该文件运行后,会显示一幅女孩图片,并释放出灰鸽子病毒。

girl_gbird

2、有人打着网络视频的幌子传播病毒。我把网友提供的QQ号加为好友,下面是一段QQ聊天记录:

girl_chat

接收下来的所谓“视频冲浪观看软件.rar”实际上就是一个虚假的说明文档和一个灰鸽子2006病毒。

recvd_gbird

]]> 2006-04-01T02:33:30Z <![CDATA[IE createTextRange漏洞文件下载木马生成器]]> http://daishuo.bokee.com/4751123.html IE的createTextRange漏洞已经出来几天了。这个漏洞的利用代码依然会分配大量内存,总得来说,可以远程代码执行,自然是严重等级的漏洞,但利用起来代价很大,512M内存的机器上跑的话,也需要1~2分钟才会运行shellcode,所以今后它的泛滥程度会远低于WMF/HHCTRL/MHTML等漏洞。

在这里,转载一个利用createTextRange漏洞的文件下载木马生成器的源码,供从事系统安全的朋友们娱乐。其实,大家可能早就baidu到一些了,呵呵。

]]> 2006-03-27T23:04:15Z <![CDATA[昨日病毒(2006.03.24)]]> http://daishuo.bokee.com/4740531.html &nbsp;
昨日病毒
统计时段
2006-3-24
病毒样本上报数排行
&nbsp;
样本文件名
上报次数
icntrl.exe
222
lup.exe
149
mssvcc.exe
130
wuass32.exe
93
mssm32.exe
86
技术分析
icntrl.exeBackdoor/Agobot
1、大小220K~240K左右,是个高波病毒变种。运行后,建立下面文件:
%SystemDir%\icntrl.exe
创建服务:NtDIC,服务描述:Nt network domain internet connectivity checker.
服务程序指向icntrl.exe。这样病毒可以随Windows系统自动启动。
&nbsp;
2、通过多种系统漏洞传播,在传播过程中,会扫描局域网内的计算机,发送大量数据包,造成中毒计算机CPU占用率很高,局域网拥堵。
&nbsp;
3、连接IRC服务器frayedendsofsanity.be接收并执行黑客命令。
&nbsp;
botnet:
frayedendsofsanity.be:5599
##meth metal
&nbsp;
lup.exeBackdoor/Agobot
mssvcc.exeBackdoor/Agobot
这2个是高波的变种,请参考昨日病毒(2006.03.16-03.17)和昨日病毒(3月13日)
&nbsp;
mssm32.exeTrojanProxy.Agent
1、病毒运行后,将创建下列文件:
%SystemDir%\mssm32.exe, 21253字节
在注册表中添加下列启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
&quot;Microsoft (R) Windows Security Manager&quot; = %SystemDir%\mssm32.exe
这样,在Windows启动时,病毒就可以自动执行。
&nbsp;
2、打开后门代理TCP端口24027,可供黑客远程使用,作为跳板,进行黑客行为。
&nbsp;
3、感染计算机后,向sophos.inlandloan.com发送UPD包,报告感染信息。
&nbsp;
wuass32.exeTrojanProxy.Agent
1、病毒运行后,将创建下列文件:
%SystemDir%\wuass32.exe, 21953字节
在注册表中添加下列启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
&quot;Microsoft (R) User Authorization Service&quot; = %SystemDir%\wuass32.exe
这样,在Windows启动时,病毒就可以自动执行。
&nbsp;
2、打开后门代理TCP端口3557,可供黑客远程使用,作为跳板,进行黑客行为。
&nbsp;
]]> 2006-03-26T12:35:39Z <![CDATA[昨日病毒(2006.03.23)]]> http://daishuo.bokee.com/4726128.html &nbsp;
昨日病毒
统计时段
2006-3-23
病毒样本上报数排行
&nbsp;
样本文件名
上报次数
newname5.exe
197
mousepad5.exe
194
keyboard5.exe
164
dpnss32.exe
113
技术分析
newname5.exeTrojanDownloader
mousepad5.exeTrojanClicker
keyboard5.exeTrojanDownloader
和以前描述过的keyboard2.exe, keyboard3.exe, keyboard4.exe功能类似,是个变种。
keyboard5.exe是个木马下载器。
运行后,首先向一个网络asp脚本提交新增感染报告,提交形式如下:
http://www.nonameforthisdomain.com/teller2.asp?rnd=[随机数]
然后获得一个要下载程序的列表:
http://www.nonameforthisdomain.com/data.asp?rnd=[随机数]&amp;antisp=1
当前下载列表的内容如下:
http://content.dollarrevenue.com/keyboard5.exe,就是keyboard5.exe本身
http://content.dollarrevenue.com/mousepad5.exe,一个广告点击程序,可能弹出广告窗口
http://content.dollarrevenue.com/newname5.exe,木马下载器
dpnss32.exeTrojanProxy.Ranky
病毒运行后,将创建下列文件:
%SystemDir%\dpnss32.exe, 21257字节
在注册表中添加下列启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
&quot;Microsoft (R) Windows Data Execution Prevention Service&quot; = %SystemDir%\dpnss32.exe
这样,在Windows启动时,病毒就可以自动执行。
开启后门代理端口TCP 7328, 黑客可以远程使用这些代理端口,将被感染计算机作为跳板(代理),进行黑客活动。
&nbsp;
]]> 2006-03-24T12:37:52Z <![CDATA[昨日病毒(2006.03.22)]]> http://daishuo.bokee.com/4726109.html &nbsp;
昨日病毒
统计时段
2006-3-22
病毒样本上报数排行
&nbsp;
样本文件名
上报次数
313.exe
175
iplus.exe
94
技术分析
313.exeBackdoor/SdBot.cxe
1、病毒运行后,将创建下列文件:
%SystemDir%\313.exe, 82709字节
在注册表中添加下列启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
&quot;Microsoft System&quot; = 313.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
&quot;Microsoft System&quot; = 313.exe
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
&quot;Microsoft System&quot; = 313.exe
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
&quot;Microsoft System&quot; = 313.exe
这样,在Windows启动时,病毒就可以自动执行。
&nbsp;
2、利用多种系统漏洞进行传播。会扫描局域网内存在漏洞的计算机,发送大量数据包,可以造成局域网拥堵甚至瘫痪。
&nbsp;
3、连接irc服务器221.2.51.204:65146,接收黑客命令。
botnet:
221.2.51.204:65146
#google g00gle
&nbsp;
iplus.exeTrojanDownloader
一个下载器,运行后首先从http://www.yeacool.net/update/update.txt得到要下载的程序列表,然后下载并运行列表上的网络程序。会安装播霸、Vika阅读器、快搜IE插件等。
&nbsp;
]]> 2006-03-24T12:34:54Z <![CDATA[昨日病毒(2006.03.20)]]> http://daishuo.bokee.com/4726091.html &nbsp;
昨日病毒
统计时段
2006-3-20
病毒样本上报数排行
&nbsp;
样本文件名
上报次数
bmnss.exe
217
mousepad4.exe
151
newname4.exe
150
keyboard4.exe
108
技术分析
bmnss.exeBackdoor/Agobot
1、病毒运行后,将创建下列文件:
%SystemDir%\bmnss.exe, 257024字节
在注册表中添加下列启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
&quot;Critical Runtime Indexer&quot; = bmnss.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
&quot;Critical Runtime Indexer&quot; = bmnss.exe
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
&quot;Critical Runtime Indexer&quot; = bmnss.exe
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
&quot;Critical Runtime Indexer&quot; = bmnss.exe
这样,在Windows启动时,病毒就可以自动执行。
&nbsp;
2、利用多种系统漏洞进行传播。会扫描局域网内存在漏洞的计算机,发送大量数据包,可以造成局域网拥堵甚至瘫痪。
&nbsp;
3、连接irc服务器64.33.201.123:6522,接收黑客命令。
botnet:
64.33.201.123:6522 nubbie
#oldone# oldboot
mousepad4.exeTrojanDownloader
newname4.exeTrojanClicker
keyboard4.exeTrojanDownloader
和以前描述过的keyboard2.exe, keyboard3.exe功能类似,是个变种。
keyboard4.exe是个木马下载器。
运行后,首先向一个网络asp脚本提交新增感染报告,提交形式如下:
http://www.nonameforthisdomain.com/teller2.asp?rnd=[随机数]
然后获得一个要下载程序的列表:
http://www.nonameforthisdomain.com/data.asp?rnd=[随机数]&amp;antisp=1
当前下载列表的内容如下:
http://content.dollarrevenue.com/keyboard4.exe,就是keyboard4.exe本身
http://content.dollarrevenue.com/mousepad4.exe,一个广告点击程序,可能弹出广告窗口
http://content.dollarrevenue.com/newname4.exe,木马下载器
]]> 2006-03-24T12:32:49Z <![CDATA[昨日病毒(2005.03.18)]]> http://daishuo.bokee.com/4693833.html

fake_icbc

上图是一个vb木马显示的窗口,该窗口背景图片是幅截图,就是xx网上银行的登录页面。木马监视当前用户窗口的标题文字,一旦发现用户正在使用IE浏览器登录此页面,立即关闭IE窗口,并弹出自己的虚假登录窗口,诱骗用户在木马窗口上输入卡号和密码。随即把截到的内容发送至病毒作者信箱。

]]> 2006-03-19T18:43:09Z <![CDATA[昨日病毒(2006.03.16-03.17)]]> http://daishuo.bokee.com/4693828.html &nbsp;
昨日病毒
统计时段
2006-3-16
病毒样本上报数排行
&nbsp;
样本文件名
上报次数
lup.exe
121
mssvcc.exe
96
技术分析
lup.exeBackdoor.Win32.Agobot.agw (Kaspersky)
mssvcc.exeBackdoor.Win32.Agobot.agw (Kaspersky)
高波蠕虫变种。和昨日病毒(3月13日)中描述的样本功能几乎完全相同,只是应用了不同的加密压缩壳处理,生成的新变种。
1、mssvcc.exe运行后,将创建下列文件:
%SystemDir%\mssvcc.exe, 83387字节
在注册表中添加下列启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
&quot;msconfig38&quot; = mssvcc.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
&quot;msconfig38&quot; = mssvcc.exe
这样,在Windows启动时,病毒就可以自动执行。
&nbsp;
2、利用多种系统漏洞进行传播。会扫描局域网内存在漏洞的计算机,发送大量数据包,可以造成局域网拥堵甚至瘫痪。
&nbsp;
3、连接irc服务器newircd.slateit1703.info:8080,接收黑客命令。
&nbsp;
4、lup.exe运行后,将创建下列文件:
%SystemDir%\mssecure.exe, 82053字节
在注册表中添加下列启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
&quot;secures23&quot; = mssecure.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
&quot;secures23&quot; = mssecure.exe
这样,在Windows启动时,病毒就可以自动执行。

&nbsp;
昨日病毒
统计时段
2006-3-17
病毒样本上报数排行
&nbsp;
样本文件名
上报次数