这个世界是一点懒都偷不了的!_Vexs_百度空间

Posted on

这个世界是一点懒都偷不了的!Vexs百度空间

分享到

百度分享

Security Development Lifecycle

2012-09-28 15:03

这个世界是一点懒都偷不了的!

最近发现了国外有人发布了Havij v1.16 Pro Cracked,随即我在x-bug转发了贴,随后帖子又被友情转到了freebuf。 在27号收到一个惊人的报告(9.27 UPDATE警告 Freebuf团队发现此软件绑有木马,请谨慎下载。)

我印象里这个Loader我测试过没有发现异常啊,我也相信发布Crack版本的作者和转贴的人不会这么无聊,怎么会这样,大家都是搞安全的,这种小动作没意思,随即抽空又做了下检查,确实没有发现异常,问了几个人,都说没发现异常。 但那帖子还有截图,证据明显,昨天比较忙只简单回复了下就懒得继续深究了,但在刚刚又想起了这很郁闷的事,决定再次看看。

突然记起我在7月22号转载了一个早期的版本,那个是时候还没有Cracked版本出现,只是安装程序。 http://hi.baidu.com/vexs_exp/item/bfaa5855614bbfdfd58bac5b 在这个帖子中明确提到这个包存在古怪,但当时没时间详细分析。

刚刚我重新下载了这个包,简单分析了下,事情原来是这样的:

图标都是白色的,二次打包后的表现。

运行Havij 1.16Pro.exe会释放两个文件到C:\Documents and Settings\Administrator\Local Settings\Application Data。

C:\Documents and Settings\Administrator\Local Settings\Application Data\taskung.exe C:\Documents and Settings\Administrator\Local Settings\Application Data\svhost.exe 然后会启动真实的安装程序Havij 1.16 Pro.exe,这个会释放在临时文件夹里%temp%。

上面两个恶意文件会设为隐藏属性,进程互相监控,单杀一个另一个会自动激活并再次启动Havij 1.16 Pro.exe安装程序。

经分析taskung.exe和svhost.exe两个程序,使用C/#编译的,也加了壳,脱壳后分析源码,终于发现了可疑的地方。

其中taskung.exe那个是个rootkit。

当时我在帖子中明确提到这个包存在古怪,最好在虚拟机里自行提取真实的安装程序,当时偷了个懒也没具体分析恶意代码,到头来还得分析出来问题,这个懒看来还是没偷了,世界真的应该是这样吗?

分享到:

举报 浏览(1318) 评论(8) 转载(3)

你可能也喜欢

本文最近访客

8月3日

6月27日

5月8日

5月2日

1月28日

1月20日

12月29日

12月25日

评论 同时评论给

同时评论给原文作者

发布

500/0

angelc0deangelc0de回复vexs

幸亏vexs的分析,否则还真不知道呢,学习了。

2012-10-25 17:58 回复

vexsvexs回复park4park

请仔细读内容,然后再做判断。

2012-10-24 15:38 回复 vexsvexs回复angelc0de

在虚拟机里搞就行了。

2012-10-24 15:37 回复

park4parkpark4park安装失败,给挂了马了吗

2012-10-21 08:08 回复 angelc0deangelc0de呵呵,幸亏当时没安装啊,

2012-10-14 14:33 回复

xoo_xxooxoo_xxoo回复vexs

呵呵

2012-10-09 13:13 回复 vexsvexs回复xoo_xxoo

有时候生活就是这样。

2012-10-07 00:14 回复

xoo_xxooxoo_xxoo犀利哥

2012-09-29 21:27 回复

收起|查看更多

帮助中心 | 空间客服 | 投诉中心 | 空间协议

©2013 Baidu a

b c

d e

f

希望本站内容对您有点用处,有什么疑问或建议请在后面留言评论
转载请注明作者(RobinChia)和出处 It so life ,请勿用于任何商业用途
本文链接: 这个世界是一点懒都偷不了的!_Vexs_百度空间