以免煮的名义，德国政府要感染你的电脑

bulaohu

http://www.ghacks.net/2011/10/19 ... -analysis-suggests/

好像还没人提到...我就转一个吧

德国的一个电脑俱乐部数周前发出消息，他们发现了一个他们认为是德国联邦政府制作的木马程序，用来感染目标的电脑并获取信息。消息传开后德国政府一片大乱，最后有几个州的政府顶不住了，承认了这个玩意儿的存在，和使用事实

http://www.dw-world.de/dw/article/0,,15449054,00.html

这玩意儿能干啥？在32/64位 Windows下安装kernel driver，然后扫描进程，发现15种常用的浏览器和通讯工具后就向其进程中注射病毒DLL，从而截获私人信息。

“A total of 15 applications are listed, including Firefox, Explorer, Opera, Skype, Microsoft Messenger, ICQ and Yahoo Messenger.”

基本上西方网民常用的上网工具被全包了...其实幸好他们没监控QQ，QQ经过跟360这场黑道厮杀，现在完全是武装到了牙齿，你免煮的木马又怎么样，我一样一脚踹开

你要是也是个民工，可能会想到这kernel driver是怎么装进去的了。首先要privilege escalation，文章没有提到是怎么做的，assume他们使用了未公开的escalation的漏洞吧；然后装driver没提示的话需要signed，这也好办，人家是免煮国家的联邦政府么，signing cert是从一个叫Goose Cert的公司光明正大地买来的 :-)想想写人类目前为止最伟大的Stuxnet病毒的作者多凄惨啊，需要cert还得去偷

德国佬还真是又笨又老实啊，笨是因为被逮着了，老实是因为竟然就承认了...

[ 本帖最后由 bulaohu 于 2011-10-23 10:14 编辑 ]

Poweregg

go go Mac OS

Limitless

win32可以用没sign的驱动，64bit就必须要sign过的才行，如果能在系统装驱动，那肯定是通过和什么应用程序捆绑在一起了，能装驱动就不用提权了，说明本身是admin了。看来平时用user权限的账户还是一个好习惯。

lostme

免煮 是啥

oldboy

同问

沉默需烈酒香烟

直接上绿坝

matri

笑死我了，功夫网算个屁啊！中国政府弱爆了！居然只会搞网络拦截。人家民主的德国人直接种木马，多么简单粗暴。

pink_maomao

德国人太坏了，在免煮的名义下，用木马软件来监视反对党和异见人士，来实行一党专政。

degra

佩服佩服， cert 也是认可的

还好我家的电脑除了的nero外就没有德国软件了

淘之妖妖

竟然还承认 看来得派几个和尚去东土大唐好好取取经

degra

够很的， 木马在机场过关时给植入
http://www.ghacks.net/2011/10/19 ... -analysis-suggests/

守望者

目标是谁？

Limitless

笔记本从来bitlocker secured

8戒

以后直接用光盘版的UB好了，随便他用啥木马。或者自己弄个U盘UBUNTU，来吧小样，哈哈

bulaohu

原帖由 Limitless 于 2011-10-23 10:24 发表
win32可以用没sign的驱动，64bit就必须要sign过的才行，如果能在系统装驱动，那肯定是通过和什么应用程序捆绑在一起了，能装驱动就不用提权了，说明本身是admin了。看来平时用user权限的账户还是一个好习惯。

我记得瘟7的话32位也必须sign了？anyways，we don't have any fundamental disagreement here ;) 现在有不少复杂的病毒是由几部分组成的，各自攻击不同的漏洞，基本上第一步就是利用已公开或者未公开的escalation漏洞来提权。

Limitless

原帖由 bulaohu 于 2011-10-23 20:01 发表


我记得瘟7的话32位也必须sign了？anyways，we don't have any fundamental disagreement here ;) 现在有不少复杂的病毒是由几部分组成的，各自攻击不同的漏洞，基本上第一步就是利用已公开或者未公开的escalation漏洞来提权。

各国政府养的黑客手里都有很多0day的，上次stuxnet里面有7个未公布的winXP 0day。对于中国这种上亿台盗版xp系统，直接用几年前公布的exploit code就行了

[ 本帖最后由 Limitless 于 2011-10-24 18:34 编辑 ]

bulaohu

是啊，漏洞太多，防不胜防啊

病毒也是越来越复杂和聪明，昨天看到一篇文章讲Mac上的某个病毒，其机器码里有一个sub process是专门用来探测主机是否运行在虚拟机环境里，如果发现是虚拟环境就立刻自杀。原因是Mac一般不会虚拟化的，被虚拟的话很可能是在各大反病毒商的实验室里。这样做让这个病毒隐藏得更好