技术分析：“肉机”上遭遇未知病毒

技术分析：“肉机”上遭遇未知病毒 - 电脑安全 - 电脑教程网

站点导航

技术分析：“肉机”上遭遇未知病毒

日期：2006-09-27 荐：

　　5月13日凌晨，笔者在网上测试MySQL的Fun漏洞（其实不能说是漏洞，只能说是一个技术而已），用MySQL Fun攻克了一台Xeon的主机，进去之后，本想做点测试，却偶然发现这台主机的C:\下有一个叫FurQ.Dll的东西，28K大小。当时感觉和笔者用的程序非常相似，于是就将这个FurQ.DLL放到IIS目录里下到本机里，用W32DSM进行反汇编。　　　　首先，用W32DSM打开这个DLL。点开函数菜单分析输入和输出的函数，发现输入的函数中包括WS2_32函数以及接受\监听\绑定等函数，而输出的函数只有一个Shell函数。分析完这些，笔者当时判断这个程序应该是连接网络的，于是就再分析字符参考，发现了一个很经典的字符：COMSPEC。到了此时，情况已经比较明朗了，这个程序有调用CMD.EXE执行程序的能力。不过，这个程序到底是在MySQL中还是Shell中执行呢？为了搞清这个问题，笔者进行了接下来的测试。　　　　首先在mysql里执行：　　　　use mysql;　　create function Shell Returns integer soname 'c:\FurQ.dll';　　（函数Shell指的是FurQ.DLL里的Shell函数，否则创建失败）　　　　返回函数创建成功了。马上测试函数：　　　　select shell('echo kevin >c:\z.txt');　　select shell('/c echo kevin >>c:\z.txt');　　select shell('cmd.exe /c echo kevin >c:\z.txt');　　　　在这里，测试的目的是验证COMSPEC是否在MySQL中执行，然后：　　　　select load_file('c:\z.txt');　　　　返回NULL，说明z.txt没生成。看来不是执行在MySQL中的。此时，笔者想到这个程序设置了监听端口，那么会不会是在TCP端口中执行？在W32DSM里找到有.bind方式的地方，发现上面显示了跳转，马上用OllYDBG打开这个DLL并且用LoadDLL载入，然后Ctrl G跳到这个跳转。跟踪了半天毫无结果，看来“人工”的方式不行阿，还是到“肉机”上测试。　　　　在xeon上执行“select shell();”同样返回NULL，但这时候笔者打开Taskmgr，发现MySQL的进程占用特别大，使用：　　　　netstat -ano (win2k3的机器，有o参数)　　返回进程ID　　用tasklist|find "mysql"　　列举进程，发现PID为6012　　用netstat -ano|find "6012"　　　　列举MySQL进程所开的端口，发现除了3306以外还有一个6666端口开放。初步估计这就是那个函数所产生的端口。为了验证，在本机执行：　　　　nc -v IP 6666　　　　然后连接成功了，输入ver看看是不是执行命令，返回ACCESS DENIED，有限制。去W32DSM里查看，果然包含这个函数，看来需要先进行破解。根据笔者的经验，如果是我做的这样一个后门 Shell程序，一定不会想到加密，应该就是设置一个密码，比如用VB写一行：　　　　if pwd="123" then call execshell else call failed　　　　开始跟踪。进入这个字串的位置，一般会有一个test来比较，于是向上，发现一个跳转，然后在OllyDBG里进入这个跳转，边上的分析框中显示着ASCII "FurQ"，原来密码就是FurQ。实验一下：　　　　nc ip 6666　　FurQ　　　　C:\Mysql\data>　　　　分析结束，准备将FurQ.DLL样本发送给朋友，结果文件传到一半被“卡巴斯基”干掉，而其它机器上的McAfee和PC-cillin也都作出了动作，但也有很多杀毒软件是“视而不见”，由此笔者推测这个病毒可能利用了某些尚未正式公布的“新技术”，希望有关专业厂商能引起注意。　　　　作者注：个人感觉文章写得不够专业，更多的是过程描述和主观推测，谬误之处还请专家们指出。不过，由于此病毒确实在很多杀毒软件中存在“漏报”现象，我还是希望专业人士们能对其作出更为详尽和深层的分析，我这篇小短文就算是“抛砖引玉”。

标签：