首页 | 滚动 | 国内 | 国际 | 运营 | 制造 | 终端 | 监管 | 地方 | 业务 | 技术 | 报告 | 博客 | 人才 | 特约记者 | 论坛 | 周刊
手机 | 互联网 | IT | 3G | 光通信 | LTE | 云计算 | 三网融合 | 芯片 | 电源 | 企业 | 测试 | 培训 | 会展 | 黄页 | 百科 | 社区
首页 >> 互联网 >> 正文
Arbor成功拦截雪豹病毒
2013年12月25日 16:12  CCTIME飞象网  

    @malpush把Tweet中的木马雪豹暴露到了我们Arbor的无线电探测器中,此次的木马表现是在Tweet中显示一个网址,当你填入信息后,他会通往一个指令和控制面板(C&C)如下所示:

    这一现象使我深信我应更深入地了解雪豹。巧合的是对于Arbor来说,这一恶意程序结果竟是DDos(分布式拒绝服务攻击)僵尸程序。

    恶意程序样例

    分析研究样例可以在malwr查找到(MD5:4fa91b76294d849d01655ffb72b30981)。

    这是用Delphi编写的恶意软件包括以下几种形式:UPX填充,字符串模糊处理,反病毒机器,反调试,自我修改代码,过程挖空。

    这种基于Delphi的使用和使用的面板部分的语言,很可能是起源于俄罗斯。

    模糊处理

    木马雪豹使用两种模糊处理方式;它们是base64和XOR的联合。不同秘钥使用不同的部分。第一个模糊处理方式是用在字符串上,可以用下面的Python函数可以解码:

    defdecrypt_strings(msg,key): msg_no_b64 = base64.b64decode(msg) plain_buf = [] for i in range(len(msg_no_b64)): key_lsb = ord(key[i % len(key)]) & 0xf msg_lsb = ord(msg_no_b64[i]) & 0xf c = msg_lsb ^ key_lsb d = c ^ 0xa msg_slsb = ord(msg_no_b64[i]) & 0xf0 plain_byte = msg_slsb ^ d plain_buf.append(chr(plain_byte)) return "".join(plain_buf)

    下面是一些例子:

    >>>decrypt_strings("QG1wZ2xnPj4sZGNk","12xc3qwfhjeryTTYHH")'Kernel32.dll' >>> decrypt_strings("TG12RGZveGBnSG5mZ2JrQg==", "12xc3qwfhjeryTTYHH") 'GetModuleHandleA' >>> decrypt_strings("dWpkbXFqZmxi", "mu#X") 'removeone' >>> decrypt_strings("cn9tY3Nqf2d1", "mu#X") 'updatever' >>> decrypt_strings("ZXN8djotITgyOyQ0MD4mOD45Jzc5I2NmfS1kaXhzdCx+YXo=", "GMrlZ8t3pypO3423423LpFqCUx") 'http://188.190.101.13/hor/input.php'

    第二种方法主要用在C&C通信上,并且可按照下面Python函数清理:

    defdecrypt_cnc(msg,key): msg_no_b64 = base64.b64decode(msg) plain_buf = [] for offset, enc_byte in enumerate(msg_no_b64): plain_byte = ord(enc_byte) ^ ord(key[offset % len(key)]) plain_buf.append(chr(plain_byte)) return "".join(plain_buf)

编 辑:章芳
[1]  [2]  [3]  [4]  
关键字搜索:Arbor  雪豹病毒  
分享到新浪微博 分享到搜狐微博分享到网易微博分享到139说客分享到校内人人网分享到开心网分享到QQ空间分享到豆瓣分享到QQ书签
相关新闻   本类文章   最近更新   一周热点  
 
专家观点
新浪科技罗亮在唱衰PC行业的声音达到顶峰之时,登上全球最大P..
精彩专题
中国正式发放4G牌照
中兴开启LTE新时代
如何通过大数据让营销更有智慧
2013年中国国际信息通信展览会
CCTIME推荐
关于我们 | 广告报价 | 联系我们 | 隐私声明 | 本站地图
CCTIME飞象网 CopyRight © 2007-2014 By CCTIME.COM
京ICP备08004280号  电信与信息服务业务经营许可证080234号 京公网安备110105000771号
公司名称: 北京飞象互动文化传媒有限公司  法律顾问:万国法源律师事务所律师 王海疆
未经书面许可,禁止转载、摘编、复制、镜像