(这条文章已经被阅读了 3 次) 时间:2001-06-18 16:56:10 来源:鸣琴 (mingqin) 收藏
江海客4月病毒观察
3月——4月两个新病毒的出现值得关注,一个是当前已知的第一个可跨win32和linux平台传播的病毒,反病毒厂商甚至在命名上都产生了“困难”,以命名规范著称的AVP开始将这种病毒命名为WIN32.WINUX,但过一阶段后,又更名为Pelf.2132了(这是将PE格式和LINUX ELF格式组合在一起的一个自造词)。而Trend Micro将这种病毒称为 ELF/PE _LINDOSE.A 。
这个病毒来自一个源起自西班牙的病毒设计组织29A,这个组织1996年成立,目前“知名”成员有20多位,他们不仅不定期的“发布”自产病毒,还发布相关的电子版本技术杂志。本病毒的设计者Benny是29A中非常活跃的分子,以往就有一个病毒以他的名字命名。
Benny在Pelf这个病毒中一如既往的发挥了他的嚣张和黑色幽默,不仅在病毒体中留下了这样的“版权信息”multi-platform virus(多平台病毒) by Benny/29A,而且极其戏谑的和LINUX FAN们开了一个玩笑,版权信息之后的一句话是This GNU program is covered by GPL(这个GNU程序符合 GPL标准).
不仅想到有LINUX FUN在论述LINUX的优点时竟然认为LINUX没有病毒是一大优势。我一向认为LINUX对比的对象决不该是WIN9X而应该是NT,而在我见到的样本中,LINUX下的病毒要比专门为NT设计的病毒更多。
这个病毒用汇编写成,长度2K多,不驻留内存,也没有破坏部分,它是在感染文件被运行时感染其他文件,病毒中分为WINDOWS部分和LINUX部分,这使病毒可以在两种OS下运行,无论是在WINDOWS下还是LINUX下,他都能通过文件头判断PE和ELF两种格式文件并感染之,不同的是在WINDOWS目录下他能感染当前和上层目录,但在LINUX下他只感染当前目录下的文件。
一个有意思的事情时,这个病毒感染PE文件时,会寻找程序段文件头的”.reloc”部分,而国内一家著名网站在翻译这一特性时,竟然会翻译成,这个病毒感染文件,并用.reloc文件来覆盖它们,令人啼笑皆非。
这个病毒引起了反病毒厂商的关注,他们在接受采访时多数表示,这种跨平台的病毒的出现,给反病毒工作带来的更大的压力。从我们对这个样本的分析,我们认为这种病毒本身的威胁并不很大,比较大的威胁是这个病毒的源码是公开的,这种后果要比这个病毒本身大的多,当年正是CIH源码的大公开,带来了WIN9X下的病毒狂潮。但从LINUX在主流桌面系统的比率来看,反病毒厂商似乎没有必要过分抬高这个病毒的地位。
相比之下,我觉得另一个病毒I-Worm.Magistr更该值得注意,这是一个“集大成者”的病毒,它是Internet蠕虫与文件性病毒的一个“完美而恐怖”的结合。这个病毒可以通过电子邮件附件传播,同时也感染本地文件,同时也可以在局域网上传播。其破坏性非常大,手法与CIH类似,既可以破坏硬盘数据,也可以破坏软件升级的BIOS。
这也是一个用汇编写成的病毒,但其长度竟然达到了30K,对完全采用汇编编写的病毒来说,这个长度是有些臃肿了。但这个庞大的体积中包含了WIN32 EXE 文件感染算法,电子邮件和网络传播例程,变形引擎(有两个),破坏例程和许多的增加检测和解毒难度的反跟踪手段和其他的陷阱技术。因此这个病毒是一个当前已知的最复杂病毒之一。
这个病毒驻留内存,而且实现驻留的手法怪异而隐蔽:它取得了对EXPLORER.EXE进程内存的控制,通过一个110字节左右短小的“加载”例程,将病毒主程序代码在EXPLORER的内存空间中运行。所以这个病毒将自身驻留内存就象EXPLORER.EXE进程的一个组成部分一样。然后它在后台象一个EXPLORER的线程那样操作。在运行其系列例程前,这个病毒休眠3分钟。
这个病毒可能出于隐蔽的考虑,感染行为并不是象CIH那样疯狂,其感染例程的运行也是一个概率控制的,于是这个病毒为了确保其能够开机被加载又采用了特络伊木马的手法,他在感染WINDOWS下第一个文件之后,将其添加到WINDOWS注册表的自动运行项HKLM\Software\Microsoft\Windows\CurrentVersion\Run下,同时将其添加到WIN.INI配置文件[windows]一节,的”run=”项上。确保他在每一次windows重新启动后都被激活。
这个病毒会在系统目录下建立一个自身的数据文件,为了提高隐蔽性,这个DAT文件的名字是根据用户的网络ID名变换而成的,我们很快就分析出了,这个变换的字母对应规律。病毒根据如下的字母对照关系,用用户的网络ID名,生成一个名字古怪的DAT文件.
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
Z Y X W V U T S R Q P O N M L K J I H G F E D C B A
这个文件的建立位置可能是在Windows目录下,但也可能是ProgramFiles目录,C盘根目录,或者系统驱动器的根目录中。
这个病毒的加密手段也非常特殊,使用了两个加密引擎,我们分析时发现,这两个引擎在感染系统后,会拆离出来,成为独立的文件。感染前后文件的变化示意如下:
病毒感染
正常可执行文件 感染后的文件
这个病毒还有其神奇之处,就是其通过EMAIL传播时,它不是单调的发送一封内容相同的信,它包含了一个信息列表,它可以通过列表中的词来构造一封信,也可以通过在用户本地驱动器上查找到的.txt 和.doc文件中的词来随机组成文件。病毒在自己感染过的文件中,找到一个作为附件发送,病毒选取文件时会判断文件大小,它不会选取大于132K的文件。1/5的概率中,病毒会随机挑选一个用户本地硬盘上的.DOC或者.txt文件作为另一个附件发送。而且邮件的主题就是这个文本文件的主题。这给收信用户带来的更大的欺骗性。也会造成感染者的信息泄密。这些手法,也使类似Snort这样的采用邮件主题或者附件名来阻截邮件蠕虫的IDS产品失去了作用。
这个病毒有内部计数器,以控制多种发作行为,这个病毒会制造用户图标躲开用户鼠标点击的恶作剧,但其破坏才是真正可怕的,其用“YOUARESHIT ”的内容覆盖用户所有文件内容,还会破坏BIOS数据。
病毒破坏完成的屏幕提示信息,显示了这个病毒制造者的歇斯底里,
“YOU THINK YOU ARE GOD ,BUT YOU ARE ONLY A CHUNK OF SHIT”( 你自以为你是上帝,但是你只是一大块狗屎)
我们之所以说这个病毒恐怖,是因为我们一直感到,随着网络的不断普及,作为EMAIL这种特殊载体的病毒会成为压倒性的主流,其防御难度将不断加大.而WINDOWS操作系统的日趋复杂,使用户凭借经验发现病毒的几率越来越小。一个30K的病毒,在DOS时代会成为笑话,但在如今这种集大成者式的病毒则会成为用户的噩梦。这个病毒传播之快出乎我们的意料,我们在4月初来到某基地研究所做联合开发时,竟然在他们的机器上发现了这种病毒。而此时这个病毒在国内还没有相关报道。
无疑,3月-4月出现的这两个病毒,是具有代表性的,它们将给那些内心疯狂、技术精湛,但创意贫乏的其他造毒者极大的提示。这种“示范”作用,比这两个病毒的威胁要大许多倍。
每一次,出现一种全新创意的病毒都会有人问我是否预见过这类病毒的存在,这次也一样,但我还是回答,是的。但我永远不会表现我的预见力,有这种预见力的人很多,但我不希望任何一种病毒的出现是源于一个安全工作者的“提示”。没有人能劝说劝说Benny这样的人不去做一个始作俑者,但安全工作者也不该去做先知。
(本文参考了AVPVE,相关中文资料可以访问www.virusview.com)