注册
 找回密码
 注册
江西广告网
查看: 697|回复: 0
打印 上一主题 下一主题

技术分析:“肉机”上遭遇未知病毒

[复制链接]

该用户从未签到

1
跳转到指定楼层
发表于 2008-12-4 10:10:54 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?注册

x

  5月13日凌晨,笔者在网上测试MySQL的Fun漏洞(其实不能说是漏洞,只能说是一个技术而已),用MySQL Fun攻克了一台Xeon的主机,进去之后,本想做点测试,却偶然发现这台主机的C:\下有一个叫FurQ.Dll的东西,28K大小。当时感觉和笔者用的程序非常相似,于是就将这个FurQ.DLL放到IIS目录里下到本机里,用W32DSM进行反汇编。
  
  首先,用W32DSM打开这个DLL。点开函数菜单分析输入和输出的函数,发现输入的函数中包括WS2_32函数以及接受\监听\绑定等函数,而输出的函数只有一个Shell函数。分析完这些,笔者当时判断这个程序应该是连接网络的,于是就再分析字符参考,发现了一个很经典的字符:COMSPEC。到了此时,情况已经比较明朗了,这个程序有调用CMD.EXE执行程序的能力。不过,这个程序到底是在MySQL中还是Shell中执行呢?为了搞清这个问题,笔者进行了接下来的测试。
  
  首先在mysql里执行:
  
  use mysql;
  create function Shell Returns integer soname 'c:\FurQ.dll';
  (函数Shell指的是FurQ.DLL里的Shell函数,否则创建失败)
  
  返回函数创建成功了。马上测试函数:
  
  select shell('echo kevin >c:\z.txt');
  select shell('/c echo kevin >>c:\z.txt');
  select shell('cmd.exe /c echo kevin >c:\z.txt');
  
  在这里,测试的目的是验证COMSPEC是否在MySQL中执行,然后:
  
  select load_file('c:\z.txt');
  
  返回NULL,说明z.txt没生成。看来不是执行在MySQL中的。此时,笔者想到这个程序设置了监听端口,那么会不会是在TCP端口中执行?在W32DSM里找到有.bind方式的地方,发现上面显示了跳转,马上用OllYDBG打开这个DLL并且用LoadDLL载入,然后Ctrl G跳到这个跳转。跟踪了半天毫无结果,看来“人工”的方式不行阿,还是到“肉机”上测试。
  
  在xeon上执行“select shell();”同样返回NULL,但这时候笔者打开Taskmgr,发现MySQL的进程占用特别大,使用:
  
  netstat -ano (win2k3的机器,有o参数)
  返回进程ID
  用tasklist|find "mysql"
  列举进程,发现PID为6012
  用netstat -ano|find "6012"
  
  列举MySQL进程所开的端口,发现除了3306以外还有一个6666端口开放。初步估计这就是那个函数所产生的端口。为了验证,在本机执行:
  
  nc -v IP 6666
  
  然后连接成功了,输入ver看看是不是执行命令,返回ACCESS DENIED,有限制。去W32DSM里查看,果然包含这个函数,看来需要先进行破解。根据笔者的经验,如果是我做的这样一个后门 Shell程序,一定不会想到加密,应该就是设置一个密码,比如用VB写一行:
  
  if pwd="123" then call execshell else call failed
  
  开始跟踪。进入这个字串的位置,一般会有一个test来比较,于是向上,发现一个跳转,然后在OllyDBG里进入这个跳转,边上的分析框中显示着ASCII "FurQ",原来密码就是FurQ。实验一下:
  
  nc ip 6666
  FurQ
  
  C:\Mysql\data>
  
  分析结束,准备将FurQ.DLL样本发送给朋友,结果文件传到一半被“卡巴斯基”干掉,而其它机器上的McAfee和PC-cillin也都作出了动作,但也有很多杀毒软件是“视而不见”,由此笔者推测这个病毒可能利用了某些尚未正式公布的“新技术”,希望有关专业厂商能引起注意。
  
  作者注:个人感觉文章写得不够专业,更多的江西广告网堂枋龊椭鞴弁撇猓笾骨胱颐侵赋觥2还捎诖瞬《救肥翟诤芏嗌倍救砑写嬖凇奥┍ā毕窒螅一故窍Mㄒ等耸棵悄芏云渥鞒龈昃『蜕畈愕姆治觯艺馄《涛木退闶恰芭鬃┮瘛薄
您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表