07 四月, 2009 11:02
推文( 0 )
沒錯,我們也不想再聽到有關這個惡意程式的消息,不過,這一篇倒還蠻有意思的。
趨勢科技威脅研究人員在研究 WORM_DOWNAD.KK 對等式 (P2P) 通訊時,發現一些基礎的程式碼是從現有的一些文獻當中借用的,最早至少可追溯到 1997 年。
當我們在查閱 CERT-LEXSI (法國 CERT 單位) 針對 WORM_DOWNAD.KK P2P 機制所發表的文獻,同時藉助 http://mtc.sri.com/Conficker/addendumCSRI International 所做的優異分析時,我們注意到以下這段 WORM_DOWNAD.KK P2P 連接埠產生函式:
圖 1: WORM_DOWNAD.KK P2P 連接埠產生函式
影像來源:CERT-LEXSI
http://www.trendmicro.com/vinfo/images/blog/confickerp2p1.gif
其中,15A4E35h 這個數值就是 WORM_DOWNAD.KK 的亂數產生函式「寫死」的亂數種子。
當我們針對這方面做更深入的研究時,我們發現了幾件有趣的事。
首先,也是最重要的,就是這段程式碼並非新的,事實上早在 1997 年就有一位稱為 raZZia 的人介紹過了,當時的主題是金鑰產生函式。
而 WORM_DOWNAD.KK 這段程式碼幾乎就是當時程式的翻版,用途也是類似,就是用來當成 P2P 通訊連接埠號碼 (與連線時機) 的亂數種子。
其實是 WORM_DOWNAD.KK 的作者只是將這段程式移作其他用途,原本用來產生金鑰的函式,現在用來產生連接埠號碼。
http://www.trendmicro.com/vinfo/images/blog/confickerp2p2.gif
圖 2: 1997 年 raZZia 的程式碼
請注意,前上述程式碼當中的 15a4e35h 這個數值。這就是 WORM_DOWNAD.KK 的程式碼當中寫死的亂數種子。
前面的金鑰產生函式與 WORM_DOWNAD.KK 連接埠選擇函式的邏輯都非常類似。雖然 WORM_DOWNAD.KK 加了一點變化,不過基礎部分是一樣的,如下所示:
http://www.trendmicro.com/vinfo/images/blog/confickerp2p1a.gif
圖 3: 本圖顯示這段程式碼是從以前的地下來源抄襲而來。
第二,更妙的是,15A4E35 這個數值若去掉前面的「15」,剩下的部分則是一個晦澀的 Unicode 中文字碼:
圖 4: 晦澀的 Unicode 中文字碼 (丵)
http://www.trendmicro.com/vinfo/images/blog/confickerp2p3.gif
這個字的意思粗略的翻譯大致是「叢生的草」或是「一叢叢生的野草」,這似乎在嘲諷一大群遭到感染的電腦,也就是大型的 Bot 網路。
一些技巧高明的網路犯罪者,最喜歡搞一些小小的嘲諷。
當然,這只是我們的臆測罷了,不過,我們倒是在其他地方找到合理的解釋。
事實上,15A4E35h 這個數字以十進位表示則為 22695477,這是 BC++ 這套開發軟體當中線性同餘產生器所使用的常數。
所以,很可能 15A4E35 對 raZZia 來說並沒有特殊意義,可能只是剛好用了這個常數值,而 Conficker 的作者沿用而已。
不過,我們的確看過一些刻意誤導研究人員誤以為某垃圾郵件作者來自某種文化背景。我們看過 Russkrainians (俄羅斯/烏克蘭網路犯罪集團) 刻意使用一些中國文化的東西,讓人誤以為這是中國人所為,反之亦然。目前比較令人不安的趨勢是 Russkrainian 網路犯罪集團利用一些中國的資產 (例如:註冊在 .CN 網域下) 來陷害一些無辜的團體。
目前我們還在分析這段程式碼,希望有助於未來的分析研究。
不管怎樣,這顯示地下網路犯罪世界也會「重複利用」一些過去的程式碼,而且是出現在最令人意想不到的地方。
雖然我們還在努力研究 Conficker.C 的程式技巧、通訊行為與其他程式碼,但我們希望大家一起來共同努力,或許我們還能找出其他「借用的」程式碼,進而揪出這批持續犯案的歹徒。
部分資料來源:Ben April 與 Ivan Macalintal.
文章來源:趨勢科技:TrendLabs | 惡意程式部落格
(Downad.KK/Conficker.C p2p Port Generation Code Exposed)
Downad.KK/Conficker.C P2P 連接埠產生程式碼曝光
@延伸閱讀:
揭開 WORM_DOWNAD.KK /Conficker P2P 網路流量內幕
