安博士公司的安全响应中心使用技巧.pdfVIP

2010 ASEC Report Vol.03 安博士公司的安全响应中心(ASEC, AhnLab Security Emergency Response Center)是以病毒分析师及安全专家组 成的全球性安全响应组织。此报告书是由安博士公司的 ASEC制作,且包含每月发生的主要安全威胁与响应这些威 胁的最新安全技术的简要信息。 详细内容可以在[]里确认。 ASEC 2010-04-05 I. 每月安全疫情 1. 病毒疫情 错误！未定义书签。 2. 安全疫情 错误！未定义书签。 II. 中国第一季度病毒疫情 1. MS10-002 漏洞脚本生成器 12 2. 以金钱为目的出售木马 错误！未定义书签。 2 I. 每月安全疫情 1. 病毒疫情 Daonol和Palevo病毒在这3月份仍然猖狂。在国外还有消息称运营Palevo(Mariposa)相关Botnet 的运营 商已被抓获。Botnet与控制它的系统都会以巨额价钱卖出，估计这些运营商也是购买这些系统的。 所以近期内Palevo病毒仍然会猖狂。还有安装虚假杀毒软件的程序也仍然猖獗。这次的木马通过发 送伪装成网上订购机票的邮件并诱导用户点击附件。这个月还发现修改Windows环境设置的虚假杀 毒软件，还有通过修改搜索结果来传播病毒的SEO Poisoning Attack。 修改hosts文件 病毒修改hosts文件不是最近才开始的技巧。大部分病毒使用Blackhole路由技巧来拦截访问杀毒软件 及安全相关网站。这次发现的修改hosts文件的病毒是为了回绕特征码扫描而制作。 3 [ 图 1-1] 篡改的hosts 文件格式 如[图 1-1]所示， hosts文件开始是用0x0A来填充(文本编辑器会显示null) 。每次生成时大小，垃圾代 码等都是随机， 使用特征码1:1诊断将会失效。修改hosts文件的病毒会把自己隐藏在用户模式下， 并执行IRCBot 工作。 而且还会把自己的重要代码注入到Explorer.exe等系统重要进程后在其中执行 。 感染系统驱动文件的病毒 3月份发现感染cdrom.sys驱动文件的病毒。目前为止成为病毒感染主要对象的系统驱动文件如下： Ntfs.sys Ndis.sys Agp440.sys Cdrom.sys 这些是通过很多途径来被感染的，最近还发现通过虚假杀毒软件也会感染。去年开始上报的此类型 病毒的感染技巧，乃今为止几乎没有太大变化。被感染的文件的外形如下： 4 [图 1-2] 感染后驱动文件的结构和运行后例子 正常驱动文件加密并保存在最后节中。病毒加载时解密该部分并正常执行正常驱动文件。这时正常 驱动文件与发送垃圾邮件的其