网站 › 『病毒分析区』 › 关于某透视自瞄软件的深入逆向

Android_army 发表于 2016-7-27 15:09

关于某透视自瞄软件的深入逆向

本帖最后由 Android_army 于 2016-7-27 15:55 编辑

今天逛论坛的时候无意间发现了一款软件，看见了@gaohongye 同学的分析，我突然来了兴趣，所以对它进行了深入的分析。应大家的要求，放出原贴，希望大家不要上当。http://www.52pojie.cn/forum.php?mod=viewthread&tid=521235&extra=page%3D1%26filter%3Dtypeid%26typeid%3D157
多的不说，我们开始。





对该软件分析如下。
首先，提交火眼。http://fireeye.ijinshan.com/analyse.html?md5=6749ab5a134f6119ec8cf82cbc118b13&sha1=6c4735105c592bd58e21ee7e6b8417f818faab2d#full
发现火眼并不能识别，没办法，只能动手咯。
一、利用API载入程序，单步放行观察程序意图。得到其主要行为如下：
MessageBox ----- :创建文件：C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\index.dat 【放行】
MessageBox ----- :创建文件：C:\Documents and Settings\Administrator\Cookies\index.dat 【放行】
MessageBox ----- :创建文件：C:\Documents and Settings\Administrator\Local Settings\History\History.IE5\index.dat 【放行】
MessageBox ----- :打开网址：http://xui.ptlogin2.qq.com/cgi-bin/qlogin 【放行】//注：该网址为混淆网址，让用户利用快捷登录实现cookie注入。
MessageBox ----- :创建文件：C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SHEN4HE7\qlogin.htm 【放行】
MessageBox ----- :创建文件：C:\WINDOWS\system32\mlang.dat 【放行】
http://imgcache.qq.com/ptlogin/v4/style/0/images/load.gif【放行】
MessageBox ----- :打开网址：http://imgcache.qq.com/ptlogin/ver/10167/js/xui.js?v=10007 【放行】
MessageBox ----- :创建文件：C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SHEN4HE7\qlogin.htm 【放行】
MessageBox ----- :创建文件：C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\CPEVSDAZ\icons.gif 【放行】
大致就是以上行为，程序停留在后台，循环执行以上关键命令。
二、监控文件操作。
图一所示，监控文件从网址http://imgcache.qq.com/ptlogin/ver/10167/js/xui.js?v=10007上下载的js文件，打开后发现作者枚举了许多浏览器，并向各个浏览器中加入了cookie注入代码。另枚举了qq.com、paipai.com等网站，也同样向文件注入cookie。


图二所示，该软件还向程序中注入消息钩子，包括创建文件、创建进程等等，并实现监控，如果发现QQ等程序启动，那就开始用键盘钩子记录用户登陆数据。


图三所示，软件通过网络连接到了地址183.56.150.149，利用的是80端口，实现将记录的所有数据发送给作者，从而实施盗号等损害用户利益的行为。

以上便是该款软件几乎全部的操作，希望能够给大家帮助，也再次感谢@gaohongye 同学的提醒。



注：本人html学的不是太好，所以追不出作者的邮箱等之类的东西，希望有大牛看见后能够帮助，也希望错误的地方大家能够多多指点，共同进步。谢谢！{:301_997:}{:301_997:}{:301_997:}

Android_army 发表于 2016-7-27 15:56

cqr2287 发表于 2016-7-27 15:25
支持。唔，为什么要单部放行，岂不是很慢。。。

单步放行是为了及时的寻找到临时创建的文件，有些文件分析后会得到很多的东西。

Android_army 发表于 2016-7-30 17:16

Joke丶Shine 发表于 2016-7-30 17:10
感觉更多都是看行为和猜测，最好能从代码级别分析比较合适。

复制粘贴？

gaohongye 发表于 2016-7-27 15:12

感谢楼主的深入分析，互相进步吧{:301_987:}

KaQqi 发表于 2016-7-27 15:25

支持。唔，为什么要单部放行，岂不是很慢。。。

绿颜〃 发表于 2016-7-27 15:27

前排学习了！

1842223254 发表于 2016-7-27 15:28

楼主你是怎么练出这种水平的啊

Vanish 发表于 2016-7-27 15:41

hnzzyk2016 发表于 2016-7-27 16:10

过来围观下！

Hmily 发表于 2016-7-28 11:39

感觉更多都是看行为和猜测，最好能从代码级别分析比较合适。

Android_army 发表于 2016-7-28 11:46

Hmily 发表于 2016-7-28 11:39
感觉更多都是看行为和猜测，最好能从代码级别分析比较合适。

多谢H大的提醒。{:301_1001:}

查看完整版本: 关于某透视自瞄软件的深入逆向