吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 6386|回复: 4
收起左侧

[PC样本分析] 一个论坛木马样本简单分析

[复制链接]
YHZX_2013 发表于 2015-6-18 15:21
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
先附上链接:http://www.52pojie.cn/forum.php?mod=viewthread&tid=351299&extra=page%3D1%26filter%3Dtypeid%26typeid%3D15

1、表面上的掩饰:
这个程序会双击之后,打开一张图片,装作图片浏览器?看看是如何实现的。
首先,主要的函数功能在sub_4024c0,在OD里面可以看到调用了一个函数,是sub_4035E0:
跟进去可以发现,程序获取了临时目录的路径,并拼接出了一个图片的绝对路径:
2.jpg
通过利用写死的字符串KLJEWERHsdwqeh23211!@asdqSADwe、bXBAJ0InPSxVSAMTEAxdVRYTSUMrAx4IU3U5KCIH进行变换,在内存中生成图片内容:
3.jpg
然后创建jpg图片,并开始写这个图片的内容:
4.jpg
接下来调用ShellExecute,利用图片处理器执行jpg,造成了exe是个图片阅览工具的假象:
5.jpg
6.jpg

2、隐藏的一些小动作
掩饰工作完毕后,接下来是一些小动作:
1.bmp
首先使用CreateMutexW创建互斥体,然后进行判断是否成功。
接下来进了一个坑,sub_40d1f0,这个里面有一个RaiseException函数抛出异常:
7.jpg
还好OD可以查看SEH链:
8.jpg
然后断下来:
9.jpg
最后又回到主要功能函数,发现一个小动作:
10.jpg
一连串,完成获取临时文件路径,文件创建与拷贝(把自身拷贝到了tmp文件夹),然后用winexec执行运行自己的一个拷贝(虽然文件的是.tmp结尾做掩饰)。

还有另外一个小动作,在Timer的响应函数里面,断下来过,发现是在查找对应的窗口,在004022c0:
11.jpg
还有一个可疑函数sub_401f40,但是没有断下来:


最后附上火眼的结果分析:
13.jpg
14.jpg

P.S.肯定有我分析遗漏的地方,希望大家一起讨论~

免费评分

参与人数 2威望 +1 热心值 +1 收起 理由
willJ + 1 一看就是QQ盗号的
games + 1 鼓励转贴优秀软件安全工具和文档!

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

头像被屏蔽
huafang 发表于 2015-6-18 15:45
提示: 作者被禁止或删除 内容自动屏蔽
feichu 发表于 2015-6-18 15:50
{:1_934:} 上次我司客服人员接了一个文件说是充值没到账 给了一个rar解压包 客服人员不懂木马之类的 解压后 运行了 快捷方式的图片 经分析 快捷方式图片触动 启动隐藏bat bat语句 打开隐藏exe木马和隐藏图片 不懂的以为电脑卡。。 然后出现一张真长图片。。。。
Earlsen 发表于 2015-6-18 16:02
1004468140 发表于 2015-6-18 16:47
学习了!
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 14:57

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表