计算机病毒处理机制,计算机病毒的工作机制

Conficker成为最近的一个热门的话题。这是“红色代码”之后最广的病毒。新闻已经谈过关于它了，我决定写一篇文章。

本文关注的是这个病毒所使用的传播技术，尤其是它在Window Server服务中利用了MS08-067安全漏洞。

技术细节

RPC协议在Server服务中的远程程序支持任何路径转换(例如，\\C:\Program Files\..\Windows)到规范路径(\\C:\Windows)。但是，Windows没有处理好过长的路径，从而造成缓冲区溢出。

为了具体化，Windows(Svchost处理程序)使用netapi32.dll库中的NetpwPathCanonicalize()函数以完成执行上述操作。下面内容是伪代码：

func _NetpwPathCanonicalize(wchar_t* Path)

{

// 检查路径长度

if( !_function_check_length(Path) )

return;

...

_CanonicalizePathName(Path);

...

return;

}

func _CanonicalizePathName(wchar_t* Path)

{

// 保护堆栈的cookie - /GS

_save_security_cookie();

...

wchar _wcsBuffer[420h];

...

// 这是函数引起的超出限制

wcscat(wcsBuffer,Path);

...

// 转换

_ConvertPathMacros(wcsBuffer);

...

return;

}

正如我们从伪代码中看到的，NetpwPathCanonicalize()检查路径长度之前通过它变成CanonicalizePathName()函数。然而，CanonicalizePathName()使用wcscat()来复制路径到局部变量(wcsBuffer)。结果，该函数在第一次运行将不会引起缓冲溢出。例如，the contents of wcsBuffer after each call to this function would be:

- 访问 1 : wcsBuffer = "\\a\aaaaa\aaaa\..\..\a"

- 访问 2 : wcsBuffer = "\\a\aaaaa\aaaa\..\..\a\\a\aaaaa\aaaa\..\..\a"

- 访问 3 : wcsBuffer = "\\a\aaaaa\aaaa\..\..\a\\a\aaaaa\aaaa\..\..\a\\a\aaaaa\aaaa\..\..\a"

- ……

因此，我们一定能够溢出Server服务的几个访问NetpwPathCanonicalize()函数远程提供适当的路径长度。此时，似乎路径已清理完毕了。

但其他两个出现障碍：

Cookie : CanonicalizePathName()函数是基于/GS选项，以保护cookie返回地址。每当返回地址被覆盖重写，缓冲区就会引起溢出。

DEP : Server服务进程(svchost.exe)的保护DEP默认的。因此，如果Shellcode放在堆栈中，DEP将不会允许代码执行。

利用什么技术使用Conficker？

现在注意一个函数用于CanonicalizePathName()，这是微软的ConvertPathMacros()。此函数不执行任何Cookie，并因此采取了优势Conficker重新控制Shellcode。

实际上，ConvertPathMacros()没有任何一部分代码直接复制和这样的缓冲区溢出。它是由能够覆盖返回地址，这个函数由于一个缺陷在字符串处理算法中。因此，wcscpy()函数访问内部ConvertPathMacros()，其返回地址就会覆盖。

为绕过DEP，Conficker利用ZwSetInformationProcess()函数中禁用的DEP运行模式。在此之后，Conficker重定向控制Shellcode的堆栈。

Conficker可以利用在AcGenral.dll库中，这是加载的Svchost，即要客服以往的保护机制。

因此，在该方法的利用中，Conficker只需要调用NetpwPathCanonicalize()一次，以成功的攻击。

Conficker散布模块

使用上面的技术，Conficker可以利用许多不同的Windows版本(XP SP2/SP3)。特定的IP地址，Conficker大量的恶意代码将试图攻击每一个版本的Windows。这增加了攻击者的成功率。下面内容是伪代码：

func __Thread_Attack (IpAddress)

{

...

// 在Shellcode创建一个网址下载病毒

url = Make_Url_Download();

...

While(1)

{

// 如果连接失败，中止

if( ! IsConnect(IpAddress)) return;

...

// 创建攻击缓冲区，每次访问Make_Buffer()

// 缓冲区的一个特定的Windows版本将创建

buffer = Make_Buffer(url, buffer);

...

// 攻击

Attack(IpAddress, buffer);

// 等待1秒钟，如果成功利用，暂停循环

// 如果没有，尝试利用下一个缓冲区

if( WaitForSingleObject(1000) != WAIT_TIMEOUT ) break;

}

}

Conficker Shellcode活动

－解码

－获取地址必需的API函数：LoadLibrary(), ExitThread()

－加载urlmon.dll库到进程中

－获取地址Urlmon.dll中的URLDownloadToFileA()函数

－使用HTTP协议的计算机下载病毒

－源地址用于下载：http://xxxxxx:port/xxxxx

－下载病毒保存的名字x

－杀掉线程(ExitThread)

尾声：

如果你喜欢/研究病毒的工作机制，希望这对你有所帮助；

任何错误、疑问请发送至我的E-mail: Hack01[at]Live{dot}cn

# The Hacker NetSpy [Czy]

◆◆

评论读取中....

请登录后再发表评论!

◆◆

修改失败，请稍后尝试