2009年3月22日 星期日

手工查找木马(二)

经过使用ida pro及ollydbg对病毒进行逆向工程,发现其行为与之前使用procmon所录制的log相符,服务启动后会进行de-obsfucation,以还原关键的字串,连向某动态解析之位置*.3322.org

连线建立完成后,根据所接收到的信息,此一后门程式可以下载其它木马,以系统帐号执行任何指令,回传系统详细信息等等。

令人担心的是,此木马在运行中躲过了kaspersky的检查,在服务被停止后,kaspersky才得以发现并删除此一木马。程式虽然只有40k大小,但是功能已经相当完整,如果接下来有时间,还是要好好研究一下才是。

另一方面,卡巴在找到此木马后的第一反应是删除此檔案,不禁另人怀疑木马作者和防毒软体业者间微妙的共生关系。檔案中含有木马作者留下的线索,可以用来查缉其来源,但是防毒软体业者的生意是否也因者木马的盛行而兴隆?因此防毒软体业者当然不希望木马作者被抓到。甚至在某些案例中,某些防毒软体业者本身也被控蓄意散播病毒。

沒有留言:

張貼留言