XXXX安博士公司的安全响应中心使用技巧

2010ASECReportVol.03安博士公司的安全响应中心(ASEC,AhnLabSecurityEmergencyResponseCenter)是以病毒分析师及安全专家组成的全球性安全响应组织。此报告书是由安博士公司的ASEC制作,且包含每月发生的主要安全威胁与响应这些威胁的最新安全技术的简要信息。详细内容可以在[]里确认。ASEC2010-04-052I.每月安全疫情1.病毒疫情...............................................................................................错误！未定义书签。2.安全疫情...............................................................................................错误！未定义书签。II.中国第一季度病毒疫情1.MS10-002漏洞脚本生成器................................................................................................122.以金钱为目的出售木马.......................................................................错误！未定义书签。3I.每月安全疫情1.病毒疫情Daonol和Palevo病毒在这3月份仍然猖狂。在国外还有消息称运营Palevo(Mariposa)相关Botnet的运营商已被抓获。Botnet与控制它的系统都会以巨额价钱卖出，估计这些运营商也是购买这些系统的。所以近期内Palevo病毒仍然会猖狂。还有安装虚假杀毒软件的程序也仍然猖獗。这次的木马通过发送伪装成网上订购机票的邮件并诱导用户点击附件。这个月还发现修改Windows环境设置的虚假杀毒软件，还有通过修改搜索结果来传播病毒的SEOPoisoningAttack。„修改hosts文件病毒修改hosts文件不是最近才开始的技巧。大部分病毒使用Blackhole路由技巧来拦截访问杀毒软件及安全相关网站。这次发现的修改hosts文件的病毒是为了回绕特征码扫描而制作。[图1-1]篡改的hosts文件格式如[图1-1]所示，hosts文件开始是用0x0A来填充(文本编辑器会显示null)。每次生成时大小，垃圾代码等都是随机，使用特征码1:1诊断将会失效。修改hosts文件的病毒会把自己隐藏在用户模式下，并执行IRCBot工作。而且还会把自己的重要代码注入到Explorer.exe等系统重要进程后在其中执行。„感染系统驱动文件的病毒3月份发现感染cdrom.sys驱动文件的病毒。目前为止成为病毒感染主要对象的系统驱动文件如下：4这些是通过很多途径来被感染的，最近还发现通过虚假杀毒软件也会感染。去年开始上报的此类型病毒的感染技巧，乃今为止几乎没有太大变化。被感染的文件的外形如下：[图1-2]感染后驱动文件的结构和运行后例子正常驱动文件加密并保存在最后节中。病毒加载时解密该部分并正常执行正常驱动文件。这时正常驱动文件与发送垃圾邮件的其他模块同时会执行。这些恶意代码不是存储在文件中，而是通过注入到Services.exe来执行。病毒修改系统驱动文件(或打补丁)的目的是防止诊断/治疗，而且还为了回绕杀毒软件的主动防御。而且估计还想反利用云技术的优点。所以了解这些情况，选择拥有可响应此类技术的杀毒软件也成为了消费者的重要选择。„USB充电程序中包含的病毒制作电池和充电器而闻名的厂商的显示USB充电状态的程序中发现恶意代码。至今还未发现恶意代码是如何嵌入其中的，但是感染该病毒后打开7777/TCP端口，并从外部可执行文件搜索及执行等后门指令。该恶意代码在V3中诊断为Win-Trojan/Arurizer.28672。„利用PDF漏洞的恶意文档的传播zNtfs.syszNdis.syszAgp440.syszCdrom.sys5最近发现利用PDF文件所包含的，解析TIF文件时发生的漏洞(CVE-2010-0188)的大量恶意PDF文档。针对该漏洞的安全补丁早在2月16日已发布，但是此类恶意文档仍然大量被传播。这说明很多用户仍然使用包含漏洞的版本，而且对PDF安全问题不太了解。„IE浏览器0-day漏洞报告3月份发现IE浏览器0-day漏洞。这是利用了MS浏览器中'iepeers.dll'的代码执行漏洞。漏洞被暴露后，针对该漏洞的恶意脚本大量传播。这意味着漏洞仍然是病毒最常使用的传播手段，而且针对用户来说意味着持续打安全补丁,升级杀毒软件病毒库的重要性。„修改Windows环境设置的虚假杀毒软件3月份发现修改Windows环境设置的虚假杀毒软件。普通虚假杀毒软件为了自启动，添加到Windows的Run注册表自启动项。但是最近发现的虚假杀毒软件修改注册表来实现每次运行EXE文件时自动运行自己。所以在Windows系统中每当运行可执行文件时会自动运行虚假杀毒软件。此时如果只删除虚假杀毒软件，会导致系统上的所有正常可执行文件也将无法正常运行的严重问题。如果在Windows系统中运行程序时即没有错误提示而且无法运行，以下注册表值被修改的可能性很大。此时使用以下方法来临时解决问题。[开始]-[运行]-(O):输入“command”后点击[确认]。输入“CD\Windows”后回车，(其中Windows是值Windows的安装文件夹)输入“renregedit.exeregedit.com”后回车，输入“regedit”后回车来打开注册表编辑器。在注册表编辑器中展开“HKEY_CLASSES_ROOT\.exe”。如果“(默认值)”的数据不是“exefile”时修改为“exefile”并结束注册表编辑器。上述方法是无法正常运行后缀为exe时把exe执行文件修改为com可执行文件来运行，然后重新还原exe后缀名可命令。所以只能在无法正常运行可执行文件时才可使用。„SEOPoisoningAttack随着互联网搜索引擎网站的发展，大部分的人可以通过搜索网站获取自己想要的信息。在这种背景下最近频繁发现修改搜索结果的排列，把病毒传播网站放到最前面，使用户访问这些网站的病毒，而且预测此类病毒以后也将继续增加。一般用户输入搜索关键词后在搜索结果中只看前2～3页左右，所以只要知道搜索引擎的SEO（SearchEngineOptimization(搜索引擎优化)），就可以把自己想要的网站放到最前面。以前病毒制作者是把恶意代码嵌入到包含漏洞的网页或通过正规网站的BBS来进6行传播，但是最近转换为利用SEO算法把恶意网站暴露到搜索结果的前面来使用户点击恶意网站的方式。这些技巧是利用通过搜索引擎搜索来想了解社会上所发生的重要新闻的人们心理的社会工程学攻击技术。下面举个例子来简单说明吧。下面图片是关于不久前发生的海底地震，用Haitiearthquakedonate搜索时显示的结果中暴露的病毒传播网站。[图1-3]链接病毒传播网站的过程1)用户用搜索关键词“Haitiearthquakedonate”在搜索网站中进行搜索。2)通过搜索引擎搜索的结果会显示到搜索结果页面。3)其中病毒传播网站也会显示在前面，用户点击后会访问恶意网站。4)然后欺骗用户下载并运行病毒。5)大部分所传播的病毒是虚假杀毒软件。这些传播方式是几年前开始就有的，不算是最新攻击方式。但是因为主要社会事件搜索结果中，比如“马克杰克逊”，“冬季奥运会”都有可能包含恶意网站，需要用户的注意。这个月发现的连接恶意网站的搜索结果的搜索关键词如下：zTaiwanEarthquake7z奥斯卡金像奖z好莱坞明星CoreyHaim葬礼&PacquiaovsClotteyzAndrePitrezKimYunaYoutube使用SiteGuard等网页浏览器安全产品来可有效预防SEOPoisoningAttack。82.安全疫情„MicrosoftInternetExploreriepeers.dllUse-after-freeVulnerability引发该漏洞的元凶是InternetExplorer的Folders和printing里使用的iepeers.dll文件。当操作iepeers.dll内部的设置属性函数setAttribute()时将会产生异常问题。该漏洞里使用的DHTML的userDateBehavior拥有比cookie更大的存储空间，而且和cookie一样当存储客户端数据时被使用。按照语言划分的userDataBehavior的规则如下。[XML]Prefix:CustomTagID=sIDSTYLE=behavior:url('#default#userData')/[HTML]ELEMENTSTYLE=behavior:url('#default#userData')ID=sID[Scripting]object.style.behavior=url('#default#userData')object.addBehavior(#default#userData)[CSS]h3{behavior:url(#default#userData);}要想操作userDataBehavior必须使用setAttribute()或getAttribute()函数，而且在这个过程当中将会引发问题。出现漏洞的原因是预想使用已经释放的对象。该漏洞只会在InternetExplorer6,7版本上产生，在InternetExplorer5,8版本中不会产生。iepeers.dll[setAttribute@CPersistUserData]//改变VARAINT类型.text:4223539Fpush409h;lcid.text:422353A4moveax,esi.text:422353A6pusheax;pvarSrc.text:422353A7pusheax;pvargDest.text:422353A8callds:__imp__VariantChangeTypeEx@.text:422353AEmovedi,eax.text:422353B0testedi,edi.text:422353B2jnzshortloc_42235415...//清除变量....text:42235415leaeax,[ebp+pvarg]9.text:42235418pusheax;pvarg.text:42235419callds:__imp__VariantClear@4;VariantClear(x)把产生问题的代码转换成C语言v3=VariantChangeTypeEx(&data,&data,0x409u,0,8u);if(v3){VariantClear(&pvarg);returnvalue;}jscript.dll[IDispatchExGetDispID].text:75BC3055push[ebp+arg_10].text:75BC3058moveax,[ebp+arg_4].text:75BC305Bpush[ebp+arg_C].text:75BC305Emovecx,[eax];使用已经释放的对象.text:75BC3060push[ebp+arg_8].text:75BC3063pusheax.text:75BC3064calldwordptr[ecx+1Ch];访问内存错误攻击代码如下：[图1-4]被病毒使用的漏洞如上所述，当访问已经释放的对象的指针时将产生内存访问错误。攻击者就是利用该漏洞往堆领域放入攻击性的Shellcode，当访问错误后接着访问堆时可控制被害者电脑。10„VBScript代码执行漏洞Microsoft公司的VBScript里发现了HLP文件相关的代码执行漏洞。该漏洞