我首先做的是看看這個檔案真正的檔案型別。很顯然,它不是乙個關於歐巴馬的,而是乙個可以自解壓的rar檔案。
通過rar提取工具,我開啟了這個自解壓檔案,看到了裡面的內容。
解壓了「you.jpg.exe」,檢查裡面的每乙個檔案,但發現它們都是經過加密的。於是,我在測試機上直接執行了「you.jpg.exe」,看看會有什麼事情發生。雙擊它後,下面的這個跳了出來。嘿嘿,果然不是歐巴馬。
在後台,下列檔案被自動安裝到了windows system32目錄下:
而且,在登錄檔裡建立了乙個自動執行的autorun命令:
hkey_current_user\software\microsoft\windows\currentversion\run bpk =我在谷歌上搜尋這些檔名稱,找到了一些有用的資訊,測試機上被安裝的這些檔案是一種鍵盤監控程式,特別之處是,這是一款商業版的軟體,來自 blazing tools公司,叫做perfect keylogger (pk)。這款鍵盤監控軟體可以通過正常的渠道購買和合法的使用,公開宣傳功用是監控孩子或員工的上網行為,等等。你可以想象,它同樣可以拿來做壞事。
我的分析到這兒差不多準備結束了。但幾分鐘後,有趣的事情出現了。監控軟體連線上了乙個遠端的ftp伺服器,這樣我就有了機會捕獲這個入侵者的ftp帳戶資訊了。
通過攔截到的使用者名稱和密碼,我登入了這個ftp伺服器,發現了大量的存放有監控日誌和受害人桌面螢幕截圖的資料夾。從這些數目眾多的日誌就可以看出,這個垃圾資訊製造者的一條八卦資訊的伎倆是多麼的有效。
下面是這個ftp伺服器的註冊資訊:
我還不想就這麼結束,我對這個監控軟體的安裝程式做了更進一步的研究,我希望能找到這個竊聽事件的幕後人物。
從這個軟體的網上幫助頁面上的資訊中得知,這個程式有乙個快捷鍵能把隱藏著的管理員控制介面或系統托盤圖示調出來。預設的快捷鍵是組合的 ctrl+alt+l,但我試了一下,不好使。於是我使用暴力方式嘗試各種鍵組合,終於讓我找到了正確的按鍵。但令人沮喪的是,出現的是下面的視窗:
我猜測chris分析的是乙個老版本的,因為對0xaa進行xor並不能解碼配置檔案。然而,從轉換的bpk.dat檔案裡可以看出,這種xor操作還是部分的有效的,為了讓轉碼的效果更好看,我使用了雙位元組0xaa, 0×00進行xor操作:
我更感興趣的是pk.bin這個檔案,因為裡面存放著這款軟體的詳細配置資訊,其中可能包含這個軟體入侵者的資訊。可這需要更多的工作,因為很顯然,簡單的與0xaa進行xor操作是不能解碼的。所有我猜測很可能需要另外乙個不一樣的xor值。
以文字模式檢視這個檔案是下面這個樣子,注意看那些很多重複的片段!
在十六進製制模式中,我取出這些重複出現的字元,把它們進行xor運算:
通過一些python指令碼,使我破譯了這個檔案:
if len(sys.ar**) > 1: pkhandle = open(sys.ar**[1],'rb') pkbuffer = pkhandle.read() pkhandle.close() key=[0x0d,0x0a,0x08,0x05,0x01,0x02,0x06,0x03,0x03,0x0e,0x01,0x08,0x03,0x0c,0x09,0x07,0x05,0x0d,0x0c,0x0b,0x03] dec = '' ctr = 0 for i in range(11,len(pkbuffer)): a= ord(pkbuffer[i]) b =key[ctr%len(key)] x = a^b dec = dec+(chr(x)) ctr+=1 dechandle = open('pk.dec','wb') dechandle.write(dec) dechandle.close()解碼後的pk.bin檔案向我展示了足夠的資訊讓我能進入管理員控制面板,包括這款軟體的管理員密碼,ftp伺服器密碼,軟體的購買許可證註冊姓名和註冊號。我輸入管理員密碼,很好用,裡面我看到了入侵者要竊取哪些資訊,以及更多的關於軟體的配置資訊。
在配置檔案裡,軟體許可證的註冊姓名是charles onuigbo。
現在,我不確定charles onuigbo就是這個入侵者,或真有其人。唯一值得一提的是,這是個在奈及利亞——垃圾郵件製造之國——乙個非常常見的名稱!
我用郵件向isp舉報了這個ftp站點,希望這個站點能夠盡快的被關閉。
更新:我收到了管理這台伺服器的公司的乙份郵件,裡面寫到:
"你好- 不知道我的同事是否就此事給你回覆過。 我們已經禁止了你所說的這個帳號對這個伺服器 的訪問許可權... "我再次嘗試登入這個ftp伺服器,確認這個惡意的ftp帳號已經被封掉了。感謝liquid web公司的alex kwiecinski和你們團隊行動的這麼迅速。
乙個木馬黑客的自白
曾幾何時,在計算機技術人員眼中,黑客還被當成了天才來膜拜。即使到了中國所特有的紅客出現,也因為所謂的正義感而尚能被網民接受。但在目前這個幾乎全民皆可以做黑客的時代,黑客守則中的不惡意破壞任何系統已無人遵守,黑客精神被徹底拋棄。在赤裸裸的金錢 下,天天都有數不清的人懷著各種目的,前赴後繼踏入網路地下世...
乙個木馬黑客的自白
專家視角 法律維權仍為奢望 周賓卿 上海市資訊服務行業協會顧問律師 理論上說,參與整個木馬黑色產業鏈各個環節的角色都是違法的,比如那些通過教學徒如何 種木馬 並收取費用的 老師 就可被列為 教唆犯罪 一列,其行為已經形成了 共同犯罪 其他木馬設計 銷贓 盜賣等參與者也都難逃其究。但之所以木馬犯罪者最...
不論姚黑如何貶低 姚明就是乙個傳奇
在我的心目中,華人在競技專案上取得重大成績和突破,並可能稱之為傳奇的,首選三人 吳清源 李小龍 姚明。吳清源 在中國圍棋整體實力遠遠落後日本的年代,譜寫了輝煌的篇章,時至今日,都可以稱之為神話。李小龍 用一己之力,撕掉了貼在中國男人身上那張 東亞病夫 標籤所帶來的屈辱,並讓全世界認識到中國功夫的魅力...