这个世界是一点懒都偷不了的!_Vexs_百度空间
Posted on这个世界是一点懒都偷不了的!Vexs百度空间
分享到
Security Development Lifecycle
2012-09-28 15:03
这个世界是一点懒都偷不了的!
最近发现了国外有人发布了Havij v1.16 Pro Cracked,随即我在x-bug转发了贴,随后帖子又被友情转到了freebuf。 在27号收到一个惊人的报告(9.27 UPDATE警告 Freebuf团队发现此软件绑有木马,请谨慎下载。)
我印象里这个Loader我测试过没有发现异常啊,我也相信发布Crack版本的作者和转贴的人不会这么无聊,怎么会这样,大家都是搞安全的,这种小动作没意思,随即抽空又做了下检查,确实没有发现异常,问了几个人,都说没发现异常。 但那帖子还有截图,证据明显,昨天比较忙只简单回复了下就懒得继续深究了,但在刚刚又想起了这很郁闷的事,决定再次看看。
突然记起我在7月22号转载了一个早期的版本,那个是时候还没有Cracked版本出现,只是安装程序。 http://hi.baidu.com/vexs_exp/item/bfaa5855614bbfdfd58bac5b 在这个帖子中明确提到这个包存在古怪,但当时没时间详细分析。
刚刚我重新下载了这个包,简单分析了下,事情原来是这样的:
图标都是白色的,二次打包后的表现。
运行Havij 1.16Pro.exe会释放两个文件到C:\Documents and Settings\Administrator\Local Settings\Application Data。
C:\Documents and Settings\Administrator\Local Settings\Application Data\taskung.exe C:\Documents and Settings\Administrator\Local Settings\Application Data\svhost.exe 然后会启动真实的安装程序Havij 1.16 Pro.exe,这个会释放在临时文件夹里%temp%。
上面两个恶意文件会设为隐藏属性,进程互相监控,单杀一个另一个会自动激活并再次启动Havij 1.16 Pro.exe安装程序。
经分析taskung.exe和svhost.exe两个程序,使用C/#编译的,也加了壳,脱壳后分析源码,终于发现了可疑的地方。
其中taskung.exe那个是个rootkit。
当时我在帖子中明确提到这个包存在古怪,最好在虚拟机里自行提取真实的安装程序,当时偷了个懒也没具体分析恶意代码,到头来还得分析出来问题,这个懒看来还是没偷了,世界真的应该是这样吗?
你可能也喜欢
- 每年都要穿的最in单品 备战军绿色外套
- 《W》2013年10月“文艺冲突”主题大片
- andreea diaconu by inez & vinoodh for vogue paris october 2013
- 时尚大片:妖女型男堕落无罪
- 古典的英式霓虹
- Zara 2013秋冬广告
- CentOS 6 + PHP + Nginx
本文最近访客
8月3日
6月27日
5月8日
5月2日
1月28日
1月20日
12月29日
12月25日
评论 同时评论给
同时评论给原文作者
500/0
幸亏vexs的分析,否则还真不知道呢,学习了。
2012-10-25 17:58 回复
请仔细读内容,然后再做判断。
2012-10-24 15:38 回复 vexs回复angelc0de
在虚拟机里搞就行了。
2012-10-24 15:37 回复
park4park安装失败,给挂了马了吗
2012-10-21 08:08 回复 angelc0de呵呵,幸亏当时没安装啊,
2012-10-14 14:33 回复
呵呵
2012-10-09 13:13 回复 vexs回复xoo_xxoo
有时候生活就是这样。
2012-10-07 00:14 回复
xoo_xxoo犀利哥
2012-09-29 21:27 回复
©2013 Baidu a