MyCity » Blogovi » Virusi i bratija

Virusi i bratija

Napisano na dan: 11.3.2007
1

Virusi i bratija
Sledeca strana Pagination

Idi na vrh

Poslao: 11 Mar 2007 18:45
Idi na vrh
offline
  • Pridružio: 04 Sep 2003
  • Poruke: 24135
  • Gde živiš: Wien

Vreme je da pocnem da pisem malo o tim silnim virusima sa kojima radim svaki dan, mozda nekom bude zanimljivo za citanje.

U zadnje vreme sam se dosta bacio na programiranje, pravim neke programe koji trebaju da nam sluze u Ambulanti.
Prekjuce mi je trebalo nesto informacija o native Windows aplikacijama. To su one aplikacije koje mogu da se izvrsavaju bez upotrebe Win32 podsistema.
Za one koji ne znaju, pri podizanju Windowsa izvrsavaju se exe fajlovi koji uopste ne koriste Win32 funkcije vec iskljucivo funkcije kernela. To su recimo Winlogon.exe i bratija. WinNT arhitektura omogucava ucitavanje razlicitih podsistema pri startovanju Windowsa, ali je MS odradio samo Win32 podsistem onako ljudski, dok su POSIX i OS/2 podsistemi totalno zapostavljeni. Da je ljudski odradjen POSIX podsistem, portovanje Linux aplikacija na Windows bi bilo pitanje minuta, a ne meseci rada.

Elem, da se vratim mom programiranju.
Otvorim Google i ukucam "delphi NtProcessStartup". Svega par rezultata, nema bas puno ljudi koji pisu drajvere ili native aplikacije u Delphiju. Kliknem desno dugme na svaki od linkova i odaberem "Open Link in new tab" (Firefox here). Pocese polako da se otvaraju sajtovi i u jednom momentu mi Firefox ponudi download fajla sa jako simpaticnim imenom - "=" (znak jednako, bez navodnika)...
Skinem fajl i zaboravim na njega... do sinoc...

Ajde rek'o da pogledam sta ima u njemu:
<script language=vbscript>
function rechange(k)
s=Split(k,",")
t=""
For i = 0 To UBound(s)
t=t+Chrw(eval(s(i)))
Next
rechange=t
End Function
t="60,104,116,109,........112,116,62,13,10"
document.write rechange(t)
</script>
Gore sam preskocio jedno 70kb brojki, ali sam ostavio sustinu.

Neko ce da zapita sta je ovo. Evo ovako, gornja funkcija ce da dekodira one silne brojke i da ih uz pomoc document.write prosledi browseru kao dokumenat.
Pregledam malo po netu da li mogu da nadjem neki emulator za skript jezike, nadjoh neki Mozillin JScript interpreter, ali mora da se kompajlira u Visual Studiju... (psovka).
Nista, upalim Lazarus i napisem malo programce koje ce da mi prevede one brojke u citljiv tekst.
Sada, za one koji nisu u toku, skript jezici tipa JScript i VBS mogu bez spoljnih funkcija da dekodiraju Unicode (kod u znak) i ASCII (hex i dec).
Gore je ocigledno bio ASCII dekadni niz, posto nije bilo ni jednog heksadecimalnog broja.
Elem, upotrebim moj programcic i pocnem prevodjenje. Fino, dekodirani dokumenat pocinje cuvenim VML eksploitom za Internet Explorer (MS06-055), pa blok kodiranih podataka, pa nekodiran deo za skidanje jednog EXE fajla sa jednog kineskog sajta, pa opet jos jedan kodirani blok koji se pri dekodiranju pokazao da je u stvari ADODB eksploit (MS06-014).
Skinem program sa linka koji sam malopre dobio posle dekodiranja i posaljem ga na VirusTotal na skeniranje - ni jedan antivirus ga ne prepoznaje.
Nista, predacu slucaj drugarima koji imaju malo vise vremena i znanja...

Nakon par sati mi se javi kolega antnet i kaze da su stringovi u tools.exe citljivi (exe ciji sam link nasao u exploitu).
Kako bre? Pa KAV mi je rekao da je pakovan?
Otvorim i pogledam, kad ono stvarno, vidljive su URL adrese deset fajlova koje ce taj tools.exe da skine.
Skidaj brze bolje te fajlove (nalovili smo 8 od 10, dva su vec sklonili, ili ce tek da ih ubace).

Ja odem na spavanje, a antnet je nastavio da secira fajlove koji su bili XOR kodirani. Malopre sam video da je izanalizirao vec 6 fajlova, i svi do jednog sluze za kradju passworda za World Of Warcraft i neke OnLine pokere.

I tako slucajno ulovim kineske kradljivce WOW naloga, bez da sam ih uopste trazio Smile

E da, zaboravio sam da vam kazem kakve je to veze imao Google, moje potraga za NtCreateProcess i kradljivci naloga:
Jedan od linkova koji mi je Google izbacio je bio prema jednom kineskom forumu, koji je pa zaradjivao pare od pop-upova koje je povlacio sa googlesyndication (zloglasni spamerski sajt koji nema veze sa pravim Googletom), a jedna od reklama je trebala da "uvali" kradljivca.

Gde su se zeznuli?
Pogledajte onaj segment koda koji sam postavio, deklarisali su script kao VBScript (kog moj Firefox i onako ne razume), a upotrebili su JScript funkcije, tako da zbog te greske ovo njaverovatnije ne bi radilo ni na IE-u (necu da proveravam Smile ).
Ziveo Firefox koji nema pojma sta je VBScript, pa mi je ponudio download umesto da proba da interpretira script Laughing

Poslao: 11 Mar 2007 18:58
Idi na vrh
KaBoom

Auuu, zamisli dočepaš se bobbyjevih passworda za WOW!!! Kontam da imaš najjaču vojsku! Mr. Green Platio bih milione, bre! Smile

Jako mi je sve ovo zanimljivo što sam pročitao. Mada ne razumem ama baš ništa! Laughing Znači još ih ni jedan antivirus nije skontao... Pa svaka čast! Definitivno su na MC-ju kvalitetni ljudi po pitanju znanja. Dobro ste naoružani za AV-testove. Wink

Inače, ako smem tu da pitam, bilo je jednom reči o našem antivirusu, čini mi se da vi pravite. Jel to tačno, jel napreduje?

Poslao: 11 Mar 2007 19:27
Idi na vrh
bobby

Moji passwordi za WOW? Zadnja igrica koju sam igrao je bio DiabloII, pa ti vidi kada je to bilo Smile Da priznam, varao sam na Diablu. Otvorio sam bio profil u hex-editoru, i nabacio sebi lvl.74 (max. u Diablo II), tako da...

Nije bas meni bio namenjen onaj "kradljivac", to ce da zadesi svakoga kome se otvori taj pop-up. Sreca sto je kineski, a nema puno nas sa ovih prostora koji posecuju kineske sajtove (osim onih koji posecuju kineske zabranjeno sajtove koji su isto puni gamadi).

Poslao: 11 Mar 2007 19:32
Idi na vrh
robilad

ovo sa googlesyndication vidjam jako cesto pri podizanju ogame. ne znam dal su i drugi obratili paznju, ali dok se sajt ucitava u donjem okviru firefoxa i IE malo malo pa spomene google syndication.

meni totalnom laiku ovo bilo sumnjivo,sad si mi razjasnio da googlesynd... nema nikakve veze sa google- om.

Poslao: 11 Mar 2007 19:40
Idi na vrh
bobby

Negde sam ja gore pogresio, ima razlika u jednom slovu izmedju pravog googlesyndication (Google AdWords na sajtovima) i ovog kineskog. Odmah cu da potrazim koja je tacno adresa kineza.

Poslao: 11 Mar 2007 21:06
Idi na vrh
ZoNi

uzgred, ako se ne varam, protiv takve gamadi nije los Script Defender
http://www.analogx.com/contents/download/system/sdefend.htm

Poslao: 11 Mar 2007 22:06
Idi na vrh
bobby

@ZoNi
Taj programcic blokira fajlove odredjenih ekstenzija. JScript i VBScript je najcesce deo samog HTML fajla na nekom sajtu.
Pride toga, Mozilla recimo nikada ne cuva originalnu ekstenziju kada kesira fajlove sa neta, pa ovde ne bi ovo radilo cak ni da je skript u posebnom fajlu.

Poslao: 11 Mar 2007 23:27
Idi na vrh
ZoNi

aha, ok Smile hvala za razjasnjenje!

Poslao: 14 Maj 2007 01:30
Idi na vrh
Konrad Zuse

[offtopic]Kad se vec prica o virusima, interesuje me jedna stvar: kako izgledaju trenutni AV testovi, evo konkretno kod vas, s koliko ukupno fajlova radite, od toga s koliko zarazenih fajlova, da li zarazene fajlove pustate odjednom ili iz vise sesija?[/offtopic]

Poslao: 14 Maj 2007 14:02
Idi na vrh
Hit-Man

Bobby......... Ti si genije sinko! Ti ces nas cuvati od svih virusa! '~''#$=+

MyCity » Blogovi » Virusi i bratija

Ko je trenutno na forumu
 

Ukupno su 1007 korisnika na forumu :: 13 registrovanih, 4 sakrivenih i 990 gosta   ::   [ Administrator ] [ Supermoderator ] [ Moderator ] :: Detaljnije

Najviše korisnika na forumu ikad bilo je 3466 - dana 01 Jun 2021 17:07

Korisnici koji su trenutno na forumu:
Korisnici trenutno na forumu: anta, babaroga, bojanM84, HrcAk47, Istman, kbobo, Lazarus, mcgunner, mean_machine, nikoladim, nuke92, UAV operator, yufighter