My Opera木马事件后续——真正幕后大boss出场
Monday, November 26, 2007 1:40:57 PM
没想到木马事件的后续事件会这样的精彩。我以为不会有下文了,世界永远太平了,可惜某些聒噪的人总是放弃任何让他们学习的正当技术用于正当用途的机会,出来炫耀炫耀。 一点也没想到,Spy-agent.bv.dldr 真正幕后的boss原来是
adware.runtime2.sys,确切地说,也不完全是adware.runtime2.sys,全称应该是Win32/Cutwail Family(CA)。看名字,怪怪的,都成了family了,怪不得那么嚣张。
这个木马的特征是通过一个含有可执行代码的html文件在背景执行代码后,偷偷下载rootkit到机器中,然后通过secdrv.sys的漏洞(补丁下载)升级自身的权限,然后进而替换掉系统中的
ip6fw.sys(ipv6防火墙驱动)、
secdrv.sys,
释放:
runtime2.sys到\%system32%\drivers中,
startdrv.exe到\%windir%\temp 中,
并且向系统添加隐藏的runtime2服务(包含在所有的safeboot以及正常启动项中),在所有启动项的最前面添加 startdrv.exe。
这其中:
- startdrv.exe是保证在启动的时候,启动隐藏的IE进程,从而注入到这个隐藏的IE进程中,在背景偷偷远程下载恶意程序到系统的temp目录中(注:这里的temp是环境变量中的temp)。
- runtime2.sys在SSDT中hook了除了网络连接和断开之外所有的与网络有关联的冬冬,而这个进程在驻留在内存中之后,便隐藏自身,需要通过icesword才能看到,包括他创建的那些注册表的项目也都需要通过rku或者icesword才能看到以及进行进一步操作。
- secdrv.sys 我猜想,大概是用来保证runtime2.sys进程和文件不被icesword之类的程序终结掉或者删除掉吧。
刚才写日志,查资料的时候,开了个所谓的安全资讯网站的页面,居然下了个小马,幸好blackice密不透风,给我挡回去了。
现在总结起来,还是一句话,要人品好,那么做人一定要低调~ 12月份的房子基本上有着落了,心里的一块石头也算搬走了~
adware.runtime2.sys,确切地说,也不完全是adware.runtime2.sys,全称应该是Win32/Cutwail Family(CA)。看名字,怪怪的,都成了family了,怪不得那么嚣张。
这个木马的特征是通过一个含有可执行代码的html文件在背景执行代码后,偷偷下载rootkit到机器中,然后通过secdrv.sys的漏洞(补丁下载)升级自身的权限,然后进而替换掉系统中的
ip6fw.sys(ipv6防火墙驱动)、
secdrv.sys,
释放:
runtime2.sys到\%system32%\drivers中,
startdrv.exe到\%windir%\temp 中,
并且向系统添加隐藏的runtime2服务(包含在所有的safeboot以及正常启动项中),在所有启动项的最前面添加 startdrv.exe。
这其中:
- startdrv.exe是保证在启动的时候,启动隐藏的IE进程,从而注入到这个隐藏的IE进程中,在背景偷偷远程下载恶意程序到系统的temp目录中(注:这里的temp是环境变量中的temp)。
- runtime2.sys在SSDT中hook了除了网络连接和断开之外所有的与网络有关联的冬冬,而这个进程在驻留在内存中之后,便隐藏自身,需要通过icesword才能看到,包括他创建的那些注册表的项目也都需要通过rku或者icesword才能看到以及进行进一步操作。
- secdrv.sys 我猜想,大概是用来保证runtime2.sys进程和文件不被icesword之类的程序终结掉或者删除掉吧。
刚才写日志,查资料的时候,开了个所谓的安全资讯网站的页面,居然下了个小马,幸好blackice密不透风,给我挡回去了。
现在总结起来,还是一句话,要人品好,那么做人一定要低调~ 12月份的房子基本上有着落了,心里的一块石头也算搬走了~
