码迷,mamicode.com
首页 > 其他好文 > 详细

病毒木马查杀实战第022篇:txt病毒研究

时间:2016-04-22 20:10:15      阅读:137      评论:0      收藏:0      [点我收藏+]

标签:

       本系列教程版权归“i春秋”所有,转载请标明出处。

       本文配套视频教程,请访问“i春秋”(www.ichunqiu.com)。


前言

       反病毒爱好者们很喜欢讨论的一个问题就是,如今什么样的病毒才算得上是主流,或者说什么样的病毒才是厉害的病毒呢?我们之前的课程所讲解的都是Ring3层的病毒,所以有些朋友可能会认为,那么Ring0层的病毒其实才是最厉害的,也是病毒发展的主流;或者有朋友可能认为,采取了五花八门的隐藏技术的病毒才是最难对付的。诚然,大家的观点都很有道理,病毒编写者往往也会用复杂高深的技术来武装自己的恶意程序,使其难以被发现难以被清除。那么是不是说Ring3层的病毒就没有“市场”了呢?我觉得不是,比如前段时间出现的“比特币敲竹杠”病毒,就是一个基于Ring3层的病毒,其特色就在于采用了一定的算法来加密目标计算机中的相应文件,而如果没有密码,那么是不可能实现解密操作的。这就体现出了病毒作者的“创意”,说明即便没有高深的技术,但只要有想法,那么Ring3层的病毒依旧是很可怕的。而我们这次所讨论的txt病毒,所走的也正是创意的路线。

 

一个奇怪的“txt”文件

       在之前的课程中,我曾经讨论过一种U盘病毒。当时在U盘中发现它的时候,我之所以没中圈套,正是因为我发现了它的.exe小尾巴:

技术分享

图1

       这也就说明,尽管它的图标是文件夹的图标,但是它本质上其实就是一个可执行程序,利用图标的更换来将自己伪装成一个文件夹,这种手段还是比较古老的,也是很容易被发现的。相信大家通过那次的课程,也建立起了防范意识。但是如果大家看到了一个这样的文件,会作何感想?

技术分享

图2

       我相信,绝大部分的朋友是不会对这个文件起疑心的,会认为这就是一个文本文档文件,会毫不犹豫地对其双击。可是双击运行后,那么也就中了陷阱,其实这是一个经过伪装的Setup.exe,也就是我们之前讨论过的“熊猫烧香”病毒样本。

 

“txt病毒”原理

       可能大家会有疑惑,为什么一个exe程序的“扩展名”会显示为txt呢?其实,说它是一个“txt病毒”并不准确,严格来讲,它是一种混淆视听的手段。因为对于一个exe程序来说,我们不单单可以把它伪装成txt格式,还可以伪装成诸如jpg、doc、ppt等格式。其实现原理就是采用了“反转字符串”的方法。

       我们就拿“熊猫烧香”病毒样本为例:

技术分享

图3

       首先可以使用Resource Hacker将该程序的图标修改为文本文档的图标:

技术分享

图4

       然后我们将这个程序重命名为“readtxt.exe”,此时保持重命名的状态别确定,将光标移到“read”与“txt”的中间,单击鼠标右键,选择“插入Unicode控制字符”中的“RLO”:

技术分享

图5

       这个“RLO”是一个转义字符,只要在一行字符前面加上它,就可以实现文本的反向排列。它是Unicode为了兼容某些文字的阅读习惯而设计的一个转义字符。当我们加入这个字符后,从而也就实现了图2中的效果。

       那么利用这个原理,我们就能够实现非常多有创意的,并且颇具迷惑性的文件名称,再将文件的图标修改为对应的假的后缀名的图标,那么我相信,即便是资深反病毒爱好者,也很可能会落入陷阱的。

 

“RLO”与注册表

       其实我们上面所讲的这个“RLO”的原理,还可以运用于其它的方面,比如注册表:

技术分享

图6

     在上图中我们发现了两个名为“Microsoft”的项,而注册表是不允许同名的项存在的。其实第二个“Microsoft”正是我利用转义字符原理生成的。某些病毒程序就有可能利用这一点,来将自己伪装成正常的程序,这是需要大家格外留意的。

 

其它的字符陷阱

       既然讲到了关于字符的陷阱,那么我这里再讲一个例子。有些病毒为了实现网站的劫持,会把想要劫持的网站重定向到自己指定的地址。为了实现这一目的,病毒作者通常的做法是修改Windows系统里位于%SystemRoot%\system32\drivers\etc目录下的hosts文件。而病毒作者是不希望我们找到真实的hosts文件,以进行进一步的解析的,于是病毒作者可以将真实的hosts文件设置为隐藏,再伪造一个hosts文件出来。而伪造的方式,可以使用上述转义字符的方法,或者采用将原始的文件名中的英文字符替换为其它的,容易造成混淆的字符。关于这个最为经典的例子就是     将“kernel32.dll”中“32”前面的“l”改为“1”,从而变成“kerne132.dll”,而后者正是一个恶意的动态链接库程序。而具体到hosts这个例子,我们应当如何达到混淆的效果呢?也很简单,首先我们可以在“记事本”中输入“hosts”这几个字符,然后保存为Unicode的形式。接着使用十六进制编辑工具打开这个文本文档,查看其十六进制代码:

技术分享

图7

       上图红框中的“6f 00”(注意这里是小端显示),也就是Unicode码的0x006f,表示的就是小写英文字母的“o”,那么这里我们将其修改为“3e 04”,也就是Unicode码的0x043e,它表示的是俄文字符的“o”:

技术分享

图8

       保存后,再使用“记事本”打开,可以发现原来的“o”变成了一个怪怪的俄文字符:

技术分享

图9

       不过没关系,我们将上述字符复制粘贴,使其成为一个文件的名称,并拷贝到真实的hosts文件目录中:

技术分享

图10

       可以发现,此时出现了两个“hosts”文件,而其实第二个是我们伪造的,从而也就达到了混淆的效果。

 

小结

       如果我们光凭肉眼,是很难阻止这类在字符上做手脚的病毒的,因此我在此也呼吁大家,一定要在计算机中安装杀毒软件,因为杀软并不会依据程序的名称进行杀毒,而是依靠病毒体内的特征码检测等方式来识别病毒的。而对于我们伪装的“熊猫烧香”病毒样本,即便是我们之前所编写的简陋的主动防御系统,也是能够将其制止住的。这也就凸显了杀软的重要性。

病毒木马查杀实战第022篇:txt病毒研究

标签:

原文地址:http://blog.csdn.net/ioio_jy/article/details/51198687

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!