二:
这个是本地特征,在查杀病毒的时候有用,他启动的时候用autorun.inf,关联他的程序运行的
用工具SMBFileSniffer1.0.0.1分析的监控记录的一部分如下:
2007-2-6 16:41:56 10.0.3.169 ERR Request CREATE FILE 10.0.3.77 \InternetScanner7\Desktop_.ini
2007-2-6 16:41:56 10.0.3.169 WRITE FILE 10.0.3.77 \InternetScanner7\Desktop_.ini
2007-2-6 16:41:56 10.0.3.169 CLOSE FILE 8 字节 10.0.3.77 \InternetScanner7\Desktop_.ini
2007-2-6 16:41:56 10.0.3.169 READ FILE 10.0.3.77 \InternetScanner7\Desktop_.ini
2007-2-6 16:41:56 10.0.3.169 CLOSE FILE 0 字节 10.0.3.77 \InternetScanner7\Desktop_.ini
2007-2-6 16:41:56 10.0.3.169 ERR Request CREATE FILE 10.0.3.77 \InternetScanner7\Retail\Desktop_.ini
2007-2-6 16:41:56 10.0.3.169 WRITE FILE 10.0.3.77 \InternetScanner7\Retail\Desktop_.ini
2007-2-6 16:41:56 10.0.3.169 CLOSE FILE 8 字节 10.0.3.77 \InternetScanner7\Retail\Desktop_.ini
2007-2-6 16:41:56 10.0.3.169 READ FILE 10.0.3.77 \InternetScanner7\Retail\Desktop_.ini
2007-2-6 16:41:56 10.0.3.169 CLOSE FILE 0 字节 10.0.3.77 \InternetScanner7\Retail\Desktop_.ini
2007-2-6 16:41:56 10.0.3.169 ERR Request CREATE FILE 10.0.3.77 \InternetScanner7\Retail\Windows_X86_NT4-XP\Desktop_.ini
2007-2-6 16:41:56 10.0.3.169 WRITE FILE 10.0.3.77 \InternetScanner7\Retail\Windows_X86_NT4-XP\Desktop_.ini
2007-2-6 16:41:56 10.0.3.169 CLOSE FILE 8 字节 10.0.3.77 \InternetScanner7\Retail\Windows_X86_NT4-XP\Desktop_.ini
2007-2-6 16:41:56 10.0.3.169 READ FILE 10.0.3.77 \InternetScanner7\Retail\Windows_X86_NT4-XP\Desktop_.ini
2007-2-6 16:41:56 10.0.3.169 CLOSE FILE 0 字节 10.0.3.77 \InternetScanner7\Retail\Windows_X86_NT4-XP\Desktop_.ini
2007-2-6 16:41:56 10.0.3.169 ERR Request CREATE FILE 10.0.3.77 \InternetScanner7\Retail\Windows_X86_NT4-XP\Docs\Desktop_.ini
2007-2-6 16:41:56 10.0.3.169 WRITE FILE 10.0.3.77 \InternetScanner7\Retail\Windows_X86_NT4-XP\Docs\Desktop_.ini
2007-2-6 16:41:56 10.0.3.169 CLOSE FILE 8 字节 10.0.3.77 \InternetScanner7\Retail\Windows_X86_NT4-XP\Docs\Desktop_.ini
2007-2-6 16:41:56 10.0.3.169 READ FILE 10.0.3.77 \InternetScanner7\Retail\Windows_X86_NT4-XP\Docs\Desktop_.ini
2007-2-6 16:41:56 10.0.3.169 CLOSE FILE 0 字节 10.0.3.77 \InternetScanner7\Retail\Windows_X86_NT4-XP\Docs\Desktop_.ini
2007-2-6 16:41:56 10.0.3.169 ERR Request CREATE FILE 10.0.3.77 \iris\Desktop_.ini
2007-2-6 16:41:56 10.0.3.169 WRITE FILE
上面看到的是病毒通过SMB协议写入病毒代码的部分
三
用SNIFFER看看他运行起来的数据报的情况:
a)用这个是用IPC$协议的攻击
b)
这个是用cc攻击的方式DDOS几个比较著名的网站,大家注意这里有特征,就是User-Agent是QQ
c)
我们继续抓HTTP流量的包,发现病毒访问网站www.koshadu.com,并且下载文件PANDAVIRUS_BADFILES = [ "mh.exe", "rx.exe", "wow.exe", "my.exe","dh.exe","wm.exe","cq.exe", "cs.exe", "wl.exe","zt.exe" ];
这样我们就可以又有一个特征来检测病毒了,检测HTTP的URL就可以了.我们可以该木马网站的访问,这些下载的文件名是会变,尽量不要作为特征.
d)最后我们要用全端口检测的办法检测病毒体的EXE的特征码,我建议使用病毒软件厂商提供的sig exe的工具找准特征码,或者自己做SIG工具,做全包过滤
总结一下:检测病毒不是太容易的事情,要分析EXE的SIG,而且要找准它的网络特征不是太容易的事情,要平时多使用工具,多积累点病毒的经验.
K) 有关DDOS工具的特征分析
1) TFN
在SNORT 2.3 RULES里有:
alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"DDOS TFN Probe"; icmp_id:678; itype:8; content:"1234"; reference:arachnids,443; classtype:attempted-recon; sid:221; rev:4;)
检测ICMP协议, ICMP报文的icmp_id回应消息ID域是678, ICMP报文的itype类型域为8,ICMP 内容包有"1234",可以认为是TFN的ICMP的流量
alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"DDOS tfn2k icmp possible communication"; icmp_id:0; itype:0; content:"AAAAAAAAAA"; reference:arachnids,425; classtype:attempted-dos; sid:222; rev:2;)
检测ICMP协议, ICMP报文的icmp_id回应消息ID域是0, ICMP报文的itype类型域为0,ICMP 内容包有"AAAAAAAAAA",可以认为是TFN2K的ICMP的流量
alert udp $EXTERNAL_NET any -> $HOME_NET 31335 (msg:"DDOS Trin00 Daemon to Master PONG message detected"; content:"PONG"; reference:arachnids,187; classtype:attempted-recon; sid:223; rev:3;)
检测UDP协议,到要保护的网段的UDP/31335的特定端口,在数据报的PAYLOAD里发现有"PONG",就可以认为是Daemon to Master的PONG的流量
alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"DDOS TFN client command BE"; icmp_id:456; icmp_seq:0; itype:0; reference:arachnids,184; classtype:attempted-dos; sid:228; rev:3;)
检测ICMP协议, ICMP报文的icmp_id回应消息ID域是456, ICMP报文的icmp_seq回应消息序列号域为0, ICMP报文的itype类型域为0,可以认为是TFN的客户端命令
下面是NFR的检测代码,和SNORT里差不多,我就不做太多解释了
