再论Unicode控制符反转伪装后缀名漏洞

Lgwu

    翻看硬盘内的文件，偶然看到一年多前研究的东东，利用Unicode控制符反转修改文字显示，以及伪装文件名等东西，突发奇想就发了上来，一是分享给大家，可以用来和朋友开开玩笑。二是提醒一下那些看到非可执行图标以及后缀（如图片图标和图片后缀）的文件就放松警惕去执行的朋友。

    这东东还是有很大迷惑性的，不要以为自己一看就可以辨识，从而认为别人都可以。有很大一部分网友对安全是没什么了解的。其实真要辨别是很容易的，伪造也只能修改资源，替换图标，然后伪造可文件后缀而已。通过文件属性等简单方法一看就可以辨识出来。如果是图片，在缩略图下是没法隐形的。

    发帖初衷本来很简单，只是和大家娱乐下，没想到跟楼的朋友却把它上升到杀软的检测和查杀的高度，真相帝也发了《探讨和研究防御“Unicode控制符反转伪装后缀名漏洞”》一贴，值得商榷的是利用入库的样本来测试，貌似和真实环境存在太大差别。如果是我利用该问题，给朋友发恶意文件，既然是打算让对方中。发送之前显然要针对杀软做免杀的。杀软能查杀的东东有什么用呢。

    最近很懒，对于测试上的东西一直不想动手，既然这个是我引起来的。自己也附带一篇测试吧。同时和《探讨和研究防御“Unicode控制符反转伪装后缀名漏洞”》一文一样，利用金山毒霸和360卫士做测试。辅助虚拟机用来跟踪样本正常行为。

涉及链接：

[分享] 发一个有趣的东东

[原创] 探讨和研究防御“Unicode控制符反转伪装后缀名漏洞”

前言：

       Unicode是国际组织制定的可以容纳世界上所有文字和符号的字符编码方案。Unicode用数字0-0x10FFFF来映射这些字符，最多可以容纳1114112个字符,从NT4开始，Windows采用了Unicode来编写内核（包括Windows2000/XP/Vista/ Windows7），从而能够在系统中同时显示多种语言。

一、测试环境：

操作系统：Windows.XP.Pro.With.Sp2.VOL简体中文MSDN 正版光盘版

安软：金山毒霸2011 SP4抢先版、360卫士7.3版（本地库全部升级到最新）

虚拟机：VMwareV5.5.2

HIPS：MD v2.7.1

病毒样本：2010-10-28    9号样本：DCSMI1313124_dd (9).exe

云上传：关闭

附图：

二、样本扫描，确认毒霸和360卫士全部入库

三、样本免杀。

    先免杀毒霸，祭出myccl、C32Asm等工具，检测发现毒霸只对样本有一处特征码。感觉好奇，又测试了几个样本，发现都是只有一处。最后发现，整个免杀过程就是个杯具。加个FSG 壳就过了金山。对于360卫士，使用MD5检测，不用测试也知道加壳后不会查杀到。

四、Unicode控制符反转扫描：

毒霸可以扫描到文件，未发现威胁。360卫士可以扫描到文件，未发现威胁。

五、MD环境下记录样本行为：

1.创建文件：

C:\Documents and Settings\Administrator\Local Settings\Temp\h8nil4o8\s.exe

C:\Documents and Settings\Administrator\Local Settings\Temp\h8nil4o8\2.dll

C:\Documents and Settings\Administrator\Local Settings\Temp\h8nil4o8\3.dll

C:\Documents and Settings\Administrator\Local Settings\Temp\h8nil4o8\4.dll

C:\WINDOWS\system32\e7rd.exe  //四位随机文件名,并设置只读属性

C:\WINDOWS\system32\9el9.dll     //regsvr32动态链接库注册

C:\WINDOWS\system32\9bee.dll    //服务加载

C:\WINDOWS\system32\977o.dll

C:\WINDOWS\91bd.exe

C:\WINDOWS\Tasks\ms.job //计划任务

C:\WINDOWS\f91d.flv

C:\WINDOWS\system32\799d.exe //修改注册表，注册服务

C:\WINDOWS\system32\9bee.dll

2.附MD图、日志：

2010-10-29 03:35:45    创建文件    允许
进程: c:\documents and settings\administrator\桌面\dcsmi1313124_dd (9).exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\h8nil4o8\b.dll
规则: [文件组]常见病毒文件免疫(询问创建) -> [文件]c:\*; ?.dll

2010-10-29 03:35:46    创建文件    允许
进程: c:\documents and settings\administrator\桌面\dcsmi1313124_dd (9).exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\h8nil4o8\p.dll
规则: [文件组]常见病毒文件免疫(询问创建) -> [文件]c:\*; ?.dll

2010-10-29 03:35:47    创建文件    允许
进程: c:\documents and settings\administrator\桌面\dcsmi1313124_dd (9).exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\h8nil4o8\s.exe
规则: [文件组]常见病毒文件免疫(结束病毒进程) -> [文件]*; ?.exe

2010-10-29 03:35:48    修改注册表值    允许
进程: c:\documents and settings\administrator\桌面\dcsmi1313124_dd (9).exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: \??\C:\WINDOWS\system32\e7rd.exe
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SYSTEM\*ControlSet*\Control\Session Manager; *FileRenameOperations

2010-10-29 03:35:49    创建新进程    允许
进程: c:\documents and settings\administrator\桌面\dcsmi1313124_dd (9).exe
目标: c:\windows\system32\regsvr32.exe
命令行: C:\WINDOWS\system32\regsvr32.exe /u /s "C:\WINDOWS\system32\9el9.dll"
规则: [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]c:\windows\system32\regsvr32.exe

2010-10-29 03:35:51    创建文件    允许
进程: c:\documents and settings\administrator\桌面\dcsmi1313124_dd (9).exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\h8nil4o8\2.dll
规则: [文件组]常见病毒文件免疫(询问创建) -> [文件]c:\*; ?.dll

2010-10-29 03:35:52    创建文件    允许
进程: c:\documents and settings\administrator\桌面\dcsmi1313124_dd (9).exe
目标: C:\WINDOWS\system32\9bee.dll
规则: [文件组]文件安全读写规则(询问创建) -> [文件]c:\windows\system32; *.*

2010-10-29 03:35:53    创建文件    允许
进程: c:\documents and settings\administrator\桌面\dcsmi1313124_dd (9).exe
目标: C:\WINDOWS\Tasks\ms.job
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows\tasks; *.job

2010-10-29 03:35:54    创建文件    允许
进程: c:\documents and settings\administrator\桌面\dcsmi1313124_dd (9).exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\h8nil4o8\3.dll
规则: [文件组]常见病毒文件免疫(询问创建) -> [文件]c:\*; ?.dll

2010-10-29 03:35:55    创建文件    允许
进程: c:\documents and settings\administrator\桌面\dcsmi1313124_dd (9).exe
目标: C:\WINDOWS\system32\977o.dll
规则: [文件组]文件安全读写规则(询问创建) -> [文件]c:\windows\system32; *.*

2010-10-29 03:35:57    创建文件    允许
进程: c:\documents and settings\administrator\桌面\dcsmi1313124_dd (9).exe
目标: C:\WINDOWS\91bd.exe
规则: [文件组]常见病毒文件免疫(询问创建) -> [文件]c:\windows; *.exe*

2010-10-29 03:35:57    创建文件    允许
进程: c:\documents and settings\administrator\桌面\dcsmi1313124_dd (9).exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\h8nil4o8\4.dll
规则: [文件组]常见病毒文件免疫(询问创建) -> [文件]c:\*; ?.dll

2010-10-29 03:35:58    创建文件    允许
进程: c:\documents and settings\administrator\桌面\dcsmi1313124_dd (9).exe
目标: C:\WINDOWS\system32\799d.exe
规则: [文件组]文件安全读写规则(阻止创建、修改) -> [文件]c:\windows\*; *.exe

2010-10-29 03:35:59    创建文件    允许
进程: c:\documents and settings\administrator\桌面\dcsmi1313124_dd (9).exe
目标: C:\WINDOWS\f91d.flv
规则: [文件组]文件安全读写规则(询问创建) -> [文件]c:\windows; *.*

2010-10-29 03:36:00    创建注册表项    允许
进程: c:\windows\system32\799d.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application\OSS
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\SYSTEM\*Controlset*\Services\*

2010-10-29 03:36:01    修改注册表值    允许
进程: c:\windows\system32\799d.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\OSS\EventMessageFile
值: C:\WINDOWS\system32\799d.exe
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\SYSTEM\*Controlset*\Services\*

2010-10-29 03:36:01    修改注册表值    允许
进程: c:\windows\system32\799d.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\OSS\TypesSupported
值: 0x00000007(7)
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\SYSTEM\*Controlset*\Services\*

2010-10-29 03:36:04    创建新进程    允许
进程: c:\documents and settings\administrator\桌面\dcsmi1313124_dd (9).exe
目标: c:\windows\system32\rundll32.exe
命令行: C:\WINDOWS\system32\rundll32 C:\WINDOWS\system32\9bee.dll, Always
规则: [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]c:\windows\system32\rundll32.exe

六、运行样本：

1.金山毒霸：

检测到两个DLL动态链接库衍生物，并成功清理。其它未报。

主服务注册拦截失败。计划任务创建拦截失败。部分衍生物未清理。

2.360卫士：

服务注册拦截成功，计划任务拦截成功。部分衍生物未清理成功。

六、测试总结

    测试时尽可能考虑了各种情况以及进行截图，但考虑不周之处肯定存在，对于跟帖所提出的问题。我会随时进行修正和增补。只找一个样本测试了下，也不想说明什么问题。云的功能个人是很肯定的，在这里我们同时也看到了主防的重要性。安全应该着重于立体防御，所以建议金山还是考虑增加主防的功能吧。测试不易，请勿口水。谢谢合作。

亡灵之月

能抢到这个沙发是比较赚的金山区好像有很多人说过很多次为什么金山不开发主防，欢迎再来给老板解释解释。

lixiang1977

这根本就不是一个漏洞，不知道怎么被炒热了！
只是电脑显示文件名的方式发生了变化，实际的文件后缀名根本就没有发生变化，用HIPS软件测试一下就什么都知道了。
总结一下，这个东西只能骗人不能骗电脑！

jefffire

再次说明HIPS的重要性。。。

Lgwu

回复 2楼 亡灵之月 的帖子

这个漏洞我知道的主要是用在木马捆绑上，但是没见到大规模应用。毕竟只是欺骗欺骗，不是可以更多利用的溢出、提权之类的漏洞。
刚看了下，翻转后我手里有的MD5校验工具都无法正确识别了，所以MD5是否发生改变目前未知。呵呵

亡灵之月

回复 5楼 Lgwu 的帖子

其实偶知道答案，只是不确定，所以问问老板。本地工具不行，多引擎网站可以，但是得出的是不是真正的修改后文件的md5，不清楚。无意引起与本帖无关的口水，编辑掉二楼。

jm001203

sp4?   不过我个人觉得金山目前云防御还很薄弱

seehere

支持一下

chen116

后来仔细想了想，这应该不算漏洞。。。
另：老版测试辛苦了。。。可惜没人妻给你、、、

zzirong

楼主辛苦