搜尋此站:

2007-02-06

小試牛刀:MSN 惡意軟件分析(前傳)

先說明一下,惡意軟件(malicious sofware,又稱作 malware)就是一些未經使用者許可而執行,又或是實際執行的內容和它所表示出來的不同,通常帶有不軌企圖的軟件,病毒廣告軟件間諜軟件等都可以歸類為惡意軟件。之前有幸參加過一個有關惡意軟件分析的技術交流活動,一直想找機會實踐一下,正好今天就來了一個機會。

事源一位朋友下午突然致電向我求救,說甚麼誤信了別人 send 給他的一封 MSN 信息,按下了附帶的連結,然後就中毒了。他另一位朋友的朋友說曾經中過類似病毒,說會胡亂刪除檔案甚麼甚麼的,令他很擔心電腦內一大堆很重要的檔案會再次失去(「再次」是因為不久之前他試過因為重新調整硬碟的 partition 而失去過這些資料一次,幸好可以用復原軟體救回一部分)…當時我想猜又是那些「濕碎」的小病毒,用一般防毒/反間碟軟件都可以輕鬆對付,故只教了他找一個網上的病毒掃描網站掃掃看。晚上收到他的 SMS 說找不到任何結果,我想網上的果然比較不可靠,就叫他去下載一個免費的防毒+反間碟軟件再試試看。又過一會他 send 了一個畫面擷圖,今好像找到東西了。一看之下發覺都是一些無間痛癢的東西,再掃下去似乎都不是辦法,唯有親自出馬動手去找了…

寫了一個簡單的批次檔案去用 Windows 內置的程序收集資料,發現幾個可疑的程式,分別是CameraFixer.exe、tsnpstd3.exe 及 vsnpstd3.exe。Google 了一下,網上有不少人都說其中一個是木馬程式,似乎是隨某 web cam 的程式一起來的。原來那位朋友最近才安裝過 web cam,檢查了一下那些檔案的建立時間,似乎和安裝時間敏合,那麼就算是病毒都和這次的沒甚麼關係吧,可以先放著不理。叫他將那三個檔案 send 了給我,粗略地 strings 了一下(就是只看那些 ASCII 字串呀),看不到可疑的字串,也好像沒有使用網絡相關的 API,是木馬的可能性又小了些吧。記得聽說過有一些惡意軟件會將自己「重新包裝」成普通的軟件,所以找了一個 unpacker 試試將那些可否 unpack,結果都是不能。那可以再安心一點吧,先處理今次的問題再算。

Windows 內置的程序始終功能有限,故找來了近年在各大討論區都很熱門的找惡意軟件小程式 HijackThis 試試(其實是一個用來做 enumeration 的工具),結果又找到幾個無關痛癢的結果,他電腦內輔助域名解析hosts 檔案被暗中修改了。Google 一下就發現兇手是一個名叫《黃易神行》的網絡遊戲,目的是將往對手網頁的流量都帶到自己網頁中,真狡猾!

到這個地步都是找不到相關的蛛絲馬跡,或許是被 rootkit 隱藏了?我一時技癢,決定改變一下策略,由他中毒的源頭開始查起,試一試之前學到分析及追查惡意軟件的技巧!

經過一番努力,已得到一點兒成果。不過原來說了這麼久還未入正題,不知不覺間已經很夜了(也可以說是很早…),這篇就當作是前傳,下次再詳細交待戲玉吧!明早(今早?)還要上九點的課,都是先睡一會兒比較好。

No comments:

Post a Comment

HTML Tags allowed (e.g. <b>, <i>, <a>)