一个论坛木马样本简单分析
先附上链接:http://www.52pojie.cn/forum.php?mod=viewthread&tid=351299&extra=page%3D1%26filter%3Dtypeid%26typeid%3D151、表面上的掩饰:
这个程序会双击之后,打开一张图片,装作图片浏览器?看看是如何实现的。
首先,主要的函数功能在sub_4024c0,在OD里面可以看到调用了一个函数,是sub_4035E0:
跟进去可以发现,程序获取了临时目录的路径,并拼接出了一个图片的绝对路径:
通过利用写死的字符串KLJEWERHsdwqeh23211!@asdqSADwe、bXBAJ0InPSxVSAMTEAxdVRYTSUMrAx4IU3U5KCIH进行变换,在内存中生成图片内容:
然后创建jpg图片,并开始写这个图片的内容:
接下来调用ShellExecute,利用图片处理器执行jpg,造成了exe是个图片阅览工具的假象:
2、隐藏的一些小动作
掩饰工作完毕后,接下来是一些小动作:
首先使用CreateMutexW创建互斥体,然后进行判断是否成功。
接下来进了一个坑,sub_40d1f0,这个里面有一个RaiseException函数抛出异常:
还好OD可以查看SEH链:
然后断下来:
最后又回到主要功能函数,发现一个小动作:
一连串,完成获取临时文件路径,文件创建与拷贝(把自身拷贝到了tmp文件夹),然后用winexec执行运行自己的一个拷贝(虽然文件的是.tmp结尾做掩饰)。
还有另外一个小动作,在Timer的响应函数里面,断下来过,发现是在查找对应的窗口,在004022c0:
还有一个可疑函数sub_401f40,但是没有断下来:
最后附上火眼的结果分析:
P.S.肯定有我分析遗漏的地方,希望大家一起讨论~
{:1_934:} 上次我司客服人员接了一个文件说是充值没到账 给了一个rar解压包 客服人员不懂木马之类的 解压后 运行了 快捷方式的图片 经分析 快捷方式图片触动 启动隐藏bat bat语句 打开隐藏exe木马和隐藏图片 不懂的以为电脑卡。。 然后出现一张真长图片。。。。 {:1_907:} 写的不错!支持楼主!看看学习一下 {:301_992:}学习了!
页:
[1]