查看: 19543|回复: 104
收起左侧

[技术原创] 探讨和研究防御“Unicode控制符反转伪装后缀名漏洞”

  [复制链接]
KCloud
发表于 2010-10-26 11:21:23 | 显示全部楼层 |阅读模式
本帖最后由 KCloud 于 2010-10-26 12:06 编辑

刚刚在360区看到一篇有趣的文章,老板写的:http://bbs.kafan.cn/thread-822678-1-1.html

其原理简单来说就是利用Unicode控制符反转伪装后缀名,使exe变成jpg后缀,然后通过修改应用程序ico图标变成一张图片,从而诱使用户点击。

这个漏洞看似很危险,因为很多网友看到一张图片后缀为jpg时,一般会放松警惕,直接双击(尤其是这个图片是美女图片等时),而此时该应用程序可以直接执行(因为其本质其实还是exe),从而造成危险。

虽然本人防御装备是金山毒霸,但我把这个贴发在国内区的目的,主要是讲述防御这个漏洞的方法,所以希望尽可能多的朋友能看到本质上,只要是拥有完整杀毒引擎的杀软应该是都能够防御的

样本地址:http://bbs.kafan.cn/thread-822820-1-1.html


一、先依照老板贴,将样本ico转换为毒霸的图标,然后反转后缀为jpg


二、设置毒霸为不扫描jpg文件,以此来验证毒霸是否会被反转的jpg后缀欺骗


三、扫描真正的jpg文件,发现确实跳过了:


四、扫描老板的MM伪装exe文件,发现没有被后缀所欺骗,还是扫描了(当然计算器是无毒的)


五、扫描样本本体,验证为有毒:


六、扫描经过伪装的样本,显示有毒,并且报毒名称正确:


七、切换到快速监控,双击运行该修改样本,模拟真实用户情况:

首先被金山卫士拦截了(请注意:金山卫士报的是真实的、未被翻转过的原始名称!注意右下角文件名为翻转过的):


关闭金山卫士,检测毒霸监控,也被拦截:


八、由于没有装360杀毒,所以用360安全卫士检测test文件夹,发现仅检测出了源文件,未检测出修改的样本:


九、打开360木马防火墙,双击病毒原样本,病毒被360木马防火墙率先拦截(实机测试,切勿模仿):


十、双击经过伪装的病毒样本,360无反应,毒霸拦截(假如360木马防火墙有效,应该在毒霸之前拦截,如九所示):搞笑一刻:注意提示框:提示框的文字都被翻转了



由于该样本动作太多,所以真相帝没敢关闭毒霸监控,实机运行该样本。

以下是comodo在线沙盘报告:



经过测试,发现经过后缀名翻转操作以后,源文件MD5值发生了变化这可能是导致360卫士木马扫描失效的原因。

白羊提醒:样本并未真正运行。所以我关闭了毒霸监控,果然,360安全卫士弹出拦截:


knsdave(可牛杀毒)是金山网盾?


但是虽然如此,搜狗输入法和浏览器的安装并未拦住(幸好可以手动终止)


百度工具条虽然被阻止了很多次,也还是装上了


金山毒霸和急救箱检测结果:


虽然卫士拦截了knsd,似乎也创建了文件


根据实际操作,更加神奇的是,当系统设置为“显示后缀名的时候”,这个修改样本后缀为jpg:


但是当我设置为“隐藏后缀名”的时候,这个样本乖乖现了原形:


也就是说:当用户电脑设置为“隐藏后缀名”的时候,这种修改没有任何用处,“jpg”会作为文件名显示,这样一来,用户下载不明后缀的程序时,必然会多看一眼。

而翻转后缀名虽然能更改文件的MD5,但对于使用特征码查杀的杀毒软件来说,是完全无效的,也就是说,假如我使用的是360杀毒,BD病毒库有这个程序的话,那即使我翻转了后缀名,也能进行防御。不过这也从侧面验证了MD5匹配技术虽然快捷,但由于是1对1的匹配,安全性方面还是存在不足。

虽然此次测试仅测了毒霸和360安全卫士,但我认为:带特征码查杀引擎的杀软都能够识别被伪装后缀的exe程序,而传统的HIPS软件,例如comodo也肯定能拦截到样本的动作。所以综上所述,大家完全不必担心有朝一日,这个漏洞会被用来攻击我们的电脑。只要我们安装了功能完善的杀毒软件,肯定能防御这种类型的病毒。而日常使用习惯中,“隐藏文件后缀名”也是可以一定程度上进行防御的。

总而言之,良好的使用习惯(看到美女图片别急着点),功能完善的杀毒软件(而不是辅助软件),就能够很好的保护我们的安全,不管是国内用户,还是国外用户都是一样。


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 5经验 +50 人气 +4 收起 理由
尔等如此无情丶 + 1 原创内容
gxczlzz + 1 支持实机测试
猪头大队 + 1 今日最后1RQ是你的了
星空下的吻 + 1 支持一下!!
皇甫暮云 + 50 原创必须鼓励

查看全部评分

lzw555
发表于 2010-10-26 11:25:05 | 显示全部楼层

支持真像帝测试.
期待LX有反驳的..
leobluelion
发表于 2010-10-26 11:30:22 | 显示全部楼层
看到美女不要那么猴急就没事啦~~嘻嘻~~
白羊座
发表于 2010-10-26 11:30:41 | 显示全部楼层
但为何木马防火墙之前报的是特征,之后却没有报行为呢?

这句话耐人寻味,样本没有运行,哪来的行为,你想让谁去报?
KCloud
 楼主| 发表于 2010-10-26 11:32:44 | 显示全部楼层
本帖最后由 KCloud 于 2010-10-26 11:35 编辑

回复 4楼 白羊座 的帖子

没有运行是因为被毒霸删掉了。

当然,我没虚拟机,请有虚拟机的童鞋试试。

你要是给我修电脑的钱,我就关掉毒霸实机运行试试

seehere
发表于 2010-10-26 11:32:52 | 显示全部楼层
不敢试毒。不过以前试过其它可执行程序,确实可以。我一般不显示扩展名。需要时再设置。
√×√×√√×
发表于 2010-10-26 11:36:58 | 显示全部楼层
KCloud 发表于 2010-10-26 11:32
回复 4楼 白羊座 的帖子

没有运行是因为被毒霸删掉了。

我正在试,没试之前就别那么早下结论OK?
白羊座
发表于 2010-10-26 11:37:27 | 显示全部楼层
我猜可能是由于360木马防火墙对于流氓软件的判定还不完善所致。这个样本根据行为来看,是设定淘宝为主页,创建指向性网页快捷方式、后台下载百度工具条、搜狗拼音、搜狗浏览器等,并不是破坏系统或盗号的病毒和木马,所以其灰色行为没有被360木马防火墙拦截。


这个结论不知道哪里来的,版主对这种带着个人臆断的原创,还是果断+50分,嗯嗯
微微的笑
发表于 2010-10-26 11:41:11 | 显示全部楼层
运行后 , 360肯定会拦的, 楼主把毒霸关掉试试
英姿飒爽
发表于 2010-10-26 11:52:37 | 显示全部楼层
我是前来看真相的
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-25 12:22 , Processed in 0.134246 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表