2008-12-01

Flashget官方版本居然帶木馬

這是一篇閒置已久的文章,趁現在有空把它整理出來
這個樣本是來自檔案下載軟體Flashget 1.94,俗稱網際快車
這應該是一個很普遍的下載軟體不管是Http還是P2P上應用都很廣泛
Flashget版本號為1.94的這個官方版本被人發現藏有木馬
我針對這一個版本做了簡單的行為檢測!


首先是KIS 8
執行後提示Flashget試圖執行一個名為updates.exe的process
該process不具備數位簽章,而且經過行為分析後具有非常高的危險指數
我選擇在受限權限下執行,之後由於KIS已經自行阻擋,所以請參閱Log


updates.exe (events: 9)
2008/11/9 下午 04:38:01 Placed in group High Restricted

2008/11/9 下午 04:38:01 Delete C:\WINDOWS\system32\dmserver.dll Denied: KLSystemData/KLSystemFiles/SystemDll

2008/11/9 下午 04:38:01 Delete C:\WINDOWS\system32\sens.dll Denied: KLSystemData/KLSystemFiles/SystemDll

2008/11/9 下午 04:38:01 Delete C:\WINDOWS\system32\browser.dll Denied: KLSystemData/KLSystemFiles/SystemDll

2008/11/9 下午 04:38:01 Delete C:\WINDOWS\system32\wuauserv.dll Denied: KLSystemData/KLSystemFiles/SystemDll

2008/11/9 下午 04:38:02 Process start c:\documents and settings\administrator\local settings\temp\x3bmkm.bat Allowed: KLPrivileges/KLPermissionAppAccess/KLPermissionProcManage/KLStartProc

2008/11/9 下午 04:38:02 Process start c:\documents and settings\administrator\local settings\temp\x3bmkm.bat Allowed: KLPrivileges/KLPermissionAppAccess/KLPermissionProcManage/KLStartProc

2008/11/9 下午 04:38:02 Process start c:\documents and settings\administrator\local settings\temp\x3bmkm.bat Allowed: KLPrivileges/KLPermissionAppAccess/KLPermissionProcManage/KLStartProc

2008/11/9 下午 04:38:02 Process start c:\documents and settings\administrator\local settings\temp\x3bmkm.bat Allowed: KLPrivileges/KLPermissionAppAccess/KLPermissionProcManage/KLStartProc



再來是CFP3的測試截圖
執行後CFP3檢測到Flashget欲執行updates.exe


updates.exe試圖存取系統服務管理員


接下來就是一連串的在System32下生成






最後這一步驟試圖使剛生成的dll檔能夠被執行



到了這一步驟幾乎罪證確鑿!
Flashget 1.94官方版不明原由,居然內建了木馬!
這個版本目前在官網還提供下載,不曉得他們安的是什麼心?
事情發生都三個禮拜了,剛剛檢查還是同一份帶毒的檔案
可見網路上處處都是危險,一般用戶真的很難全身而退

3 則留言: