Malwarebytes是一款反恶意软件商品,前不久的4月15日,在Malwarebytes论坛上逐渐发生有关恶意软件检验问题的帖子。好像突然间它将操作系统的一些一部分文档也有它自身当做是恶意软件。
C:\Windows\System32\SessEnv.dll (Trojan.Downloader.ED) -> No action taken. [2c3c895fbbb0b97dfa37ff68d42fc63a] C:\Windows\System32\upnphost.dll (Trojan.Downloader.ED) -> No action taken. [f1772bbd0a61f343e64b0463e3206898] C:\Windows\System32\wcncsvc.dll (Trojan.Downloader.ED) -> No action taken. [35339a4ef07b2b0b6dc48dda8a79b749] C:\Windows\System32\WebClnt.dll (Trojan.Downloader.ED) -> No action taken. [3a2e0adea3c82016c46d4720f21122de] C:\Windows\System32\WsmSvc.dll (Trojan.Downloader.ED) -> No action taken. [e7815f897dee56e036fbf374e91af60a]它为什么逐渐检验到它自身便是恶意软件,一个可以表述的通的诱因是有什么东西发生了极为明显的不正确。
C:\Program Files (x86)\Malwarebytes’ Anti-Malware\mbam.exe (Trojan.Downloader.ED) -> No action taken. [0365915779f2d16560d1a6c139cabf41] C:\Program Files (x86)\Malwarebytes’ Anti-Malware\mbamscheduler.exe (Trojan.Downloader.ED) -> No action taken. [d29647a1b2b9b18573be363108fb42be] C:\Program Files (x86)\Malwarebytes’ Anti-Malware\mbamservice.exe (Trojan.Downloader.ED) -> No action taken. [1e4ad612fc6f0a2c3af7ce9941c2ab55]如同在主题风格为http://forums.malwarebytes.org/index.php?showtopic=125127 的帖子中所看见的,它逐渐觉得一些运作的过程,注册表项,也有储存在固态硬盘上的文档全是恶意软件的一部分。
但Malwarebytes的开发者迅速就推送了处理此问题的升级,乃至带来了一个专业修补此问题的专用工具。如马尔辛.克列金斯基在Malwarebytesblog上发过的帖子,这个问题在数分钟内就取得了修补 -“在不上8分钟左右的时间段里,就可以从大家的网络服务器上获得升级”。
那麼是啥层面出了问题了?为了更好地可以弄搞清楚这其中的缘故,大家需要弄清楚系统更新是怎样工作中来寻找大家所需要的适宜的恶意软件界定文档。一条案件线索来源于何时加上了不正确签字,随后何时公布了修补的界定文档。从一个名字叫做“catscomputer”的客户发过的一个帖子中我发现好像是一个升到版本号“v2013.04.15.12”的升级,毁坏了操作系统。而依据一个名字叫做“雷蒙德.纳加尔”的Malwarebytes职工在论坛上的常说,修补这个问题的刷新是“v2013.04.15.13”。
为了更好地掌握Malwarebytes在升级时干了些哪些,我开启Wireshark 开展抓包软件剖析(这时我正在写这篇blog)。它做的***件事是查验是不是程序流程是***的版本号,随后是看一看有哪些新闻通讯(我是那么以为的,但并非彻底的明确)。全部相关升级的要求都发送至了“data-cdn.mbamupdates.com”。***它所做的是大家喜欢的一部分,升级界定文档。它逐渐要求***的界定文档:GET /v1/database/rules/version.chk HTTP/1.1。
那时候,回到的版本信息是"v2013.06.27.09",这一新版本的数据库查询我当地沒有(目地是保证自己的是到期的,进而可以表明这一升级的全过程)。应用这一新的版本信息,它逐渐要求这一界定文档的数据文档,它是一个yaml文件格式的文档,叙述了界定文档的尺寸,在免费下载后开展校检的哈希值,及其一些其他的数据库。要求如下所示:
GET /v1/database/rules/data/rules.v2013.06.27.09.ref.yaml HTTP/1.1接着,来源于升级网络服务器的回应如下所示:
filename: rules.v2013.06.27.09.ref
version:
previous: v2013.06.27.08
current: v2013.06.27.09
date: Thu, 27 Jun 2013 16:32:13 GMT
package:
size: 6616865
md5: cc8b2b2ace236d10eb833d9d3b46e23a
format: legacydb
content:
size: 26780341
md5: 318dd700ef1ac0b26b2eb2cf38d90cd4
format: legacydb
metadata:
size: 323
那时候,它看上去像是在做对于这一天的增量升级,其产生的要求如下所示:
GET /v1/database/rules/data/rules.v2013.06.27.08_v2013.06.27.07.ref.inc HTTP/1.1。我得到了一个二进制数据文件,仿佛便是其界定文档。我想要补充说明的是,已经管理方法Malwarebytes升级网络服务器的一位管理人员加上了一些附加的“X前向头”到了回应中:
HTTP/1.1 200 OK
Accept-Ranges: bytes
Cache-Control: max-age=7200
Content-MD5: TtzBRPrw2mTl UYhEYzMvw==
Content-Type: text/plain
Date: Thu, 27 Jun 2013 16:51:37 GMT
ETag: “8b6-4e02516192100"
Expires: Thu, 27 Jun 2013 18:51:37 GMT
Last-Modified: Thu, 27 Jun 2013 16:16:36 GMT
Server: ECAcc (ams/489A)
x-admin: tedivm was here.
X-Cache: HIT
x-shameless-plug: Looking for a dev job? Send your resume to jobs@malwarebytes.org
Content-Length: 2230
Connection: close
我想tedivm是这一管理员的代号,因此它与“x-shameless-plug”头可以有效地符合。
如今依据这种早已得到的升级文档,大家知道它是怎样作业的,针对大家所需求的2个版本号的界定文档,分别是“v2013.04.15.12”和“v2013.04.15.13”,大家可以像下边那样获得:
GET /v1/database/rules/data/rules.v2013.04.15.12.ref HTTP/1.1
GET /v1/database/rules/data/rules.v2013.04.15.13.ref HTTP/1.1
大家所获取的2个二进制数据库文件,一个尺寸是6294406字节数,一个尺寸是6294350字节数,二者没什么大的转变,但确实删除了一些物品。有关这种升级文档有一个问题,他们早已被数据加密。我是不会对你说如何去破译他们,但我还在一个朋友的幫助下,根据应用OllyDbg专用工具开展一些反向工程剖析,最后大家弄清楚了怎样破译这种文档。下边是这种破译后的资料的不同点:
VOFFSET=Trojan.Downloader.ED, 74433, 1, 6,
687474703A2F2F36342E36342E32302E35302F32373753457236372E657865, NS
VOFFSET=Trojan.Downloader.ED, 74485, 1, 14
687474703A2F2F6674702E74636D6C732E6F72672F7172415165562E657865, NS
这儿的叙述信息内容“Trojan.Downloader.ED”便是以前在社区论坛贴子上所讲的发生问题的叙述信息内容。尽管这种规则精确的原理,我不能说我已经100%相信是怎么完成的,但这己经是到现在为止我所了解的物品:
VOFFSET: 某类用以字节数配对的偏移。不论是哪些在等于号以后的全是叙述
74433和74485好像是数字签名标志符,
1,6和1.14好像是某类范畴,后边我能再转过看来他们
是与VT上的一种恶意软件相关的URI的二进制编码格式
是与polyloader恶意软件载入程序流程相关的URI的二进制编码格式
NS: 沒有有关这个是什么的案件线索
我觉得在运用这种规则时发生了偏移不正确或误会。假如你应用规则中的标准做为这些字节数匹配算法中的串切分符得话,那麼在***条规则中范畴1-6表明“http:”,而另一条规则中的范畴1-14表明“http://ftp.tc“。我想逐渐的情况下"http:"与每一个地区都能够配对上,很有可能NS是一个标识,用于标示一部分配对也是可以的,谁知道。
我对MBAM检验为恶意软件的文档,干了一些查验,方式是最先实行Linux指令"strings -el "打印出Unicode标识符,随后按照其导出的字节数编号,根据grep命令搜索字符串数组"http:"。偶然的是,我在社区论坛上以前所投的贴子中所获取的全部被误认是恶意软件的文档都包括了这种串,因而我觉得问题很有可能就出在这儿。
这也是一件很有趣的事去弄搞清楚加密方法和实际上的界定文档自身。我乃至试着将自己界定的字节数方式放进到自定的规则文档中,看一看它是不是那般工作中,而效果是的确如此。此外,要尤其地感激让我夺走了睡眠质量的朋友,你在零晨4点为我制做出了解密工具,你了解自身到底是谁的。
文中即来源于其官网,并由IDF试验室青年志愿者周耀平翻泽,章典校检。