本帖最后由 willJ 于 2012-6-25 21:52 编辑
基本信息
报告名称:对XX网站下载的XX播放器分析 作者:willJ 报告更新日期:2012/6/25 样本发现日期:未知 样本类型:下载者 样本文件大小:98.5KB 样本文件MD5 校验值:c7610f563026ea4a23681efa9741b307 壳信息:无壳 可能受到威胁的系统: Windows 相关漏洞:无 已知检测名称:未知
简介
通过下载正常快播安装包的同时从指定网站下载对应的盗号木马程序
被感染系统及网络症状
快播下载目录多出了几个异常文件
文件系统变化
文件当前目录将会释放下载者主体以及正常的快播下载安装包
网络症状
从指定网站下载对应的盗号木马程序
详细分析/功能介绍
当样本运行后会做如下操作:
1. 将下载者主体和正常快播下载端释放出来,然后分别运行
2. 恶意代码将原有文件的路径名写入C:\Documents and Settings\All Users\ApplicationData\DownloadSave\RecordPath文件中
3. 将原始文件以[mxwtptt.exe]复制到[C:\Documents and Settings\All Users\Application Data\DownloadSave]
4.然后通过更新资源文件,通过随机数填充将自己增加到6.08M
5. 遍历所有盘符,向每个盘符创建文件夹\$RECYCLE.BIN并生成PageFile文件
6.删除原文件
7.尝试连接如下域名以测试互联网连接是否有效:
www.tencent.com www.baidu.com
8. 开始通过网络一下域名下载各种盗号木马: http://cfo152.info:44/x6/qq.exe
http://cfo152.info:44/x6/00.exe
http://cfo152.info:44/x6/01.exe
http://cfo152.info:44/x6/02.exe
http://cfo152.info:44/x6/03.exe
http://cfo152.info:44/x6/04.exe
http://cfo152.info:44/x6/05.exe
http://cfo152.info:44/x6/06.exe
http://cfo152.info:44/x6/07.exe
http://cfo152.info:44/x6/08.exe
http://cfo152.info:44/x6/09.exe
http://cfo152.info:44/x6/10.exe
http://cfo152.info:44/x6/11.exe
http://cfo152.info:44/x6/12.exe
http://cfo152.info:44/x6/13.exe
http://cfo152.info:44/x6/14.exe
http://cfo152.info:44/x6/15.exe
http://cfo152.info:44/x6/16.exe
http://cfo152.info:44/x6/17.exe
http://cfo152.info:44/x6/18.exe
http://cfo152.info:44/x6/18.exe
http://cfo152.info:44/x6/19.exe
http://cfo152.info:44/x6/20.exe
http://cfo152.info:44/x6/21.exe
http://cfo152.info:44/x6/22.exe
http://cfo152.info:44/x6/23.exe
http://cfo152.info:44/x6/24.exe
http://cfo152.info:44/x6/25.exe
http://cfo152.info:44/x6/26.exe
http://cfo152.info:44/x6/27.exe
http://cfo152.info:44/x6/28.exe
http://cfo152.info:44/x6/29.exe
http://cfo152.info:44/x6/30.exe
http://cfo152.info:44/x6/31.exe
http://cfo152.info:44/x6/32.exe
http://cfo152.info:44/x6/33.exe
这些程序都是和以下进程相关联的:
DNFsoul wow Gacrunner my Game xy2 DragonNet elementclient cstrike-online QQSG qyQQhxgame Msango Bo NYCSclient Mir1 zhengtu2 LDJgame PlayNCLauncher tty3d tw2tklobby jxonine jx3client YY XXzshell
相关服务器信息分析
可以去站长工具里发现一些关于申请域名的作者的东西,嘿嘿
预防及修复措施
对于不规范的网站提供的播放器不能随意下载运行,比如XX色网站,得去正规的网站下载播放器,不要有那个好色之心去XX网站哟
通过杀毒软件可以清理下载者 技术热点及总结 软件通过绑定正常软件达到下载的目的,而且用winrar无法解压,当时在分析的时候这里花了很多时间,发现很多和界面有关还有解压相关的东西,后来才发现可以用7-zip直接解压: 解压后出现两个文件夹$PLUGINSDIR和$R0
$PLUGINSDIR文件夹中放有一个文件: System.dll用于解压用的
$R0文件夹中放有两个文件: 5015.exe:下载者实体 fd120326.152013.exe:正常快播下载客服端
详细分析5015.exe: 语言:Microsoft Visual C++ 6.0
1. 首先获取自己的目录以及特殊目录判断自己是不是在那个帖数目录下面C:/Documents and Settings/AllUsers/Application Data: .text:0040A238 FF 90 10 01 00 00 call dword ptr [eax+110h] ; 获取自己名字及路径
.text:0040A23E 8B 0D E0 2E 41 00 mov ecx, dword_412EE0
.text:0040A244 8D B5 C4 00 00 00 lea esi, [ebp+0C4h]
.text:0040A24A 6A 01 push 1
.text:0040A24C 6A 23 push 23h
.text:0040A24E 56 push esi
.text:0040A24F 6A 00 push 0
.text:0040A251 FF 51 34 call dword ptr [ecx+34h] ; 获取C:/Documents and Settings/All Users/Application Data
.text:0040A254 85 C0 test eax, eax
.text:0040A256 75 12 jnz short loc_40A26A
.text:0040A258 8B 15 E0 2E 41 00 mov edx, dword_412EE0
.text:0040A25E 68 04 01 00 00 push 104h
.text:0040A263 56 push esi
.text:0040A264 FF 92 98 01 00 00 call dword ptr [edx+198h]
.text:0040A26A
.text:0040A26A loc_40A26A: ; CODE XREF: sub_40A200+56j
.text:0040A26A A1 E0 2E 41 00 mov eax, dword_412EE0
.text:0040A26F 56 push esi
.text:0040A270 FF 90 58 01 00 00 call dword ptr [eax+158h] ; GetFileAttributesA
.text:0040A276 83 F8 FF cmp eax, 0FFFFFFFFh
.text:0040A279 75 0F jnz short loc_40A28A
.text:0040A27B 8B 0D E0 2E 41 00 mov ecx, dword_412EE0
.text:0040A281 6A 00 push 0
.text:0040A283 56 push esi
.text:0040A284 FF 91 00 01 00 00 call dword ptr [ecx+100h]
.text:0040A28A
.text:0040A28A loc_40A28A: ; CODE XREF: sub_40A200+79j
.text:0040A28A 8B FE mov edi, esi
.text:0040A28C 83 C9 FF or ecx, 0FFFFFFFFh
.text:0040A28F 33 C0 xor eax, eax
.text:0040A291 F2 AE repne scasb
.text:0040A293 F7 D1 not ecx
.text:0040A295 49 dec ecx
.text:0040A296 51 push ecx ; MaxCount
.text:0040A297 56 push esi ; Str2
.text:0040A298 53 push ebx ; Str1
.text:0040A299 FF 15 7C E2 40 00 call ds:strncmp ; 比较自己的路径是不是在C:/Documents and Settings/All Users/Application Data
2. 依次检测有没有这些文件夹C:\Documents and Settings\All Users\Application Data\DownloadSave\,没有则开始创建 .text:0040A389 E8 72 6C FF FF call Create_Directory ; 依次检测有没有C:\Documentsand Settings\All Users\Application Data\DownloadSave\这些文件夹,没有就开始创建
3. .text:0040A3A1 E8 9A 02 0000 call Create_RecordPath ; 创建一个RecordPath文件记录原文件路径以便删除
4. .text:0040A4F4 FF 92 0C 01 0000 call dword ptr [edx+10Ch] ; Call CopyFile 将自己以名字mxwtptt.exe拷贝到C:\Documents and Settings\All Users\Application Data\DownloadSave\
5. .text:0040A504 E8 A7 02 0000 call Update_Resource ; 更新资源,写入随机数据将自己增大到6.08MB
6. 遍历磁盘,创建文件夹\$RECYCLE.BIN并生成PageFile文件 7. 开始执行下载,我从内存中抓取了一部分下载链接,大约30多个
这周考完就要离开学校去另外的一个地方开始另外一段生活了,来到52pojie一年多了,52pojie给我带来了很多东西,技术提高了很多,认识了很多技术很厉害的人,也让我在找工作上面得到了很大的帮助,也没有什么可以报答的,只是希望将自己学习的东西记录下来发布到这里同大家一起学习,一起进步,将52pojie的技术氛围带得更好些。
七月得离开一个多星期,等我安顿好了我还会回来的。
不请长缨,系取天骄种,剑吼西风
样本:
1.7z
(83.51 KB, 下载次数: 35)
密码:52pojie
| 
发表于 2012-6-25 21:50
发表于 2012-6-25 21:55
发表于 2012-6-25 21:55
发表于 2012-6-25 22:12
顶楼主
