ZeroAccess’s trick – A wolf in sheep’s clothing.

In previous article, my colleague talked about a new way to inject virus codes into other normal processes in order to bypass firewall’s detection. During the continuous research of ZeroAccess, we find there’re some improvements for this series of anti-detection and anti-debug methods. And what’s most interesting is ZeroAccess seems to really like lsass.exe. It often wears lsass’s clothing.

In this case, the variation of ZeroAccess did not use ZwMapViewOfSetion to inject into explorer.exe. It just used normal ZwAllocateVirtualMemory and ZwWriteVirtualMemory to fill in explorer.exe’s memory with virus codes.

After entered explorer’s virus code space, it will first calls RtlAddVectoredExceptionHandler to install an exception handler.

阅读全文 »

病毒瞄准国内流行软件，迅雷遨游均成目标

病毒瞄准国内流行软件，迅雷遨游均成目标

病毒替换Windows系统文件早已不是什么新鲜事了。但是替换应用程序的组件却一直很少见，这多半是因为触发较难或者通用性不够。过去我们见到过的大部分相关案例是病毒会替换QQ的组件来盗取用户的QQ秘密。而最近，AVG截获到一种会替换国内流行软件的组件来实施恶意行为。而这些流行软件中包括了迅雷、遨游、阿里旺旺等几乎装机必备的软件。

这款病毒首先会从网上下载一个配置文件，里面包含了一些重要信息，包括替换哪些软件的组件，如何去替换。

阅读全文 »

Virustotal Uploader patched – VTU优化版。

Virustotal uploader，简称VTU，是一个可以上传文件到virustotal.com并常看扫描结果的客户端工具。现在的最新版本是2.0，默认的是安装版本，目前已经被汉化绿化。

用了几次之后，我发现VTU有个不符合使用习惯的地方。VTU如果发现文件的扫描结果在virustotal.com上已经存在，默认会直接打开最新扫描结果的页面，然后才会让你选择是否“重新上传”；如果你选择了“重新上传”，VTU就打开Virustotal上让你选择“reanalyse”还是“view latest report”的页面，也就是说，你还得再点击“reanalyse”才能打开最后的重新扫描的结果页面。

我觉得这个有点累赘了，因为如果你需要重新扫描文件的话，你得操作两次才能得到结果。我觉得应该在一开始就给用户一个选择“直接查看最新扫描结果”还是“重新扫描”的机会。

周末没啥事，也不想贪玩，就给VTU做了点小手术。patch了两块地方：
1：如果发现文件扫描结果已经在virustotal上存在，弹出对话框，让用户选择是“打开已有的最新报告页面”还是“打开重新扫描的结果页面”。
2：如果选择了“打开重新扫描的结果页面”，则直接跳转到重新扫描的页面，而非“选择reanalysze还是view latest report”的页面。

修改后的运行界面如下：

阅读全文 »

OD虚拟地址转物理偏移插件：VA2FO。

工作中做CRC特征的时候，需要根据文件偏移地址选取一定范围。通常调试都是用OD，而OD里显示的都是虚拟地址。这样一来，每次都得自己打开IDA或者StudPE转换一下。

于是我就抽空写了个这样的插件，挺简单的，不过应该还是挺实用的。

源码和dll下载：VirAddr2FileOffset
解压密码：infected

右击选择“Get File Offset”调用，或者按Ctrl + 2。（快捷键在笔记本上似乎不太好使）

替换系统文件盗取密码，暑期玩网游需多加提防

替换系统文件盗取密码，暑期玩网游需多加提防

端午小长假刚过，就迎来了忙碌的高考。高考结束后就是暑假了。暑假干点什么放松好呢？玩网游是大部分男孩子的选择之一。而”网游账号被盗”应该是网游玩家们最大的痛苦之一了。

AVG中国病毒实验室近日截获一种最新的网游盗号木马。该盗号木马隐藏自身的手段很巧妙，只有当你的游戏运行起来之后，该木马才会激活，然后悄无声息地盗取你的网游账号和密码。

 
阅读全文 »

阿里旺旺惊现网银大盗，AVG警惕您注意网购安全。

"亲，店铺里的图片不清晰，我给你传个高清实物照片"。热衷于淘宝网购的小王正沉浸于卖家的热心周到当中，却没想到"旺旺网银大盗"已经悄悄地在偷窥他的网银账户信息……

AVG中国区实验室近日截获到利用淘宝网购"社会工程学"传播的病毒，该病毒通常以卖家给买家传送"高清实物照片"的形式传播。如果买家警惕心不够，点击被伪造成图片的病毒后，被提示"打开失败，不支持此格式"，买家以为图片格式不对，却不知病毒已经在悄悄窃取自己的网银信息。

买家误点"高清实物图片"后的情形：

阅读全文 »

BlackHat之路第八期：文件夹病毒专杀工具。

第八期来得迟了点，其实这个工具8月份完成了80%，9月份主要是重构优化了一下。

点击下载此文件

预备知识：
一个ICO文件，其实是由不同尺寸的BMP文件组成的，即可以将ICO理解为一个BMP数组，{48*48,36*36,24*24…}
windows会根据需要，选择适当大小的图片。比如，“平铺”选择的是48*48的，“列表”选择的是16*16的

工具原理：
1·遍历文件夹，扫描“是PE&会显示图标”的文件，选择其ICON_GROUP的第一个图标资源作判断
2·枚举该图标里的所有尺寸的图片，与Pattern中的相应尺寸的图片 比较每个像素的RGB，容差在某个范围内，则认为HIT
3·当该图标的某个尺寸的图片的所有像素HIT的百分比在某个范围内，则认为图标HIT，即认为是文件夹图标病毒

优势：
相比 通过提取文件CRC来判断一个文件夹病毒，通过图标来判断更为可控，更为迅速。而且，调整好几个阀值之后，理论上不会误报。

后续开发计划：
增加免疫功能；增加修复功能；增加实时监控功能

说明：
由于我目前收集的样本数有限，所以Pattern比较少，检测效果可能不是很好。以后我会扩充Pattern。

BlackHat之路第七期：Worm_downad扫描器

这个东西是想练练手的，因为觉得自己大部分是分析别人写的东西，所以觉得自己也应该写点东西出来。
这个东西主要有两个功能：扫描网内的机器，猜测密码以及判断是否有MS08-067攻击的漏洞。

做的过程中还是学到不少东西的。内网连接，怎么猜密码，怎么利用管道，怎么利用漏洞等等。

下载地址：
点击下载此文件