一个感染型木马分析3601——我在吾爱的第1个样本分析

安静的小酒吧

3601分析报告

安静的小酒吧

基本信息

名称		3601
类型		感染型病毒
来源		吾爱破解-病毒样本区
运行环境		Win  XP
壳信息		UPX  -> Markus & Laszlo ver. [ 3.91 ]
开发语言		EP  code like Delphi/C++ but different structure
分析环境		Win  XP
分析时间		2015-11-1
文件信息
文件名	文件大小		Hash
3601.exe	24.0KB		MD5	B5752252B34A8AF470DB1830CC48504D
			SHA-1	AEC38ADD0AAC1BC59BFAAF1E43DBDAB10E13DB18

简介

样本来自吾爱破解论坛病毒样本区（具体链接找不到了，谁要是看到了记得给个链接哦，谢谢啦）。样本会感染ZIP和RAR文件（前提是你装了WinRAR），有多个上线地址（都已无法连接）。

样本附件： 3601.zip (21.63 KB, 下载次数: 230)

2015-11-17 00:57 上传

点击文件名下载附件

（解压密码：52pojie）

分析报告： 分析报告.zip (509.49 KB, 下载次数: 144)

2015-11-17 01:00 上传

点击文件名下载附件

（PDF版，看着舒服些）

技术特征执行流程

（IDA下的部分函数名和变量按照我的个人习惯已经重命名）

一、主程序模块功能：

1.      样本被加壳，UPX，脱壳。

（最近喜欢用Exeinfo查壳，PEID好久不更新,新壳查的不全）

2.      读取一个固定的注册表项，检查自身是否已经在系统中驻扎，如果没有则随机产生一个文件名，将自身拷贝到C:\\Windows\\ 目录下。

读注册表

随机生成文件名，复制自身

3.      注册服务并启动，服务名：Ghijklmn Pqrstuvwx Abcdefg Ijklmnop Rst

注册并启动服务（这些函数是动态加载的，名称是我根据LoadLiarbrary()的参数命名的）

4.      写注册表（写入的注册表项就是前面读取的注册表项），主程序退出。

二、服务模块功能

         关于服务程序的调试，感兴趣的可以去看看《逆向工程核心原理》相关部分的讲解（第54章调试练习1：服务），提供了2种方法，我这次选择的是OD加载后直接把EIP指向SvcMain函数的起始指令（也就是第一种方法），但是这个会稍微有点问题就是程序和服务有关的API会失效，所以关键位置位置需要手工改一下（其实就是nop nop 那些API调用）。SvcMain函数的位置看一下注册服务时注册的地址就可以了（这个样本的SvcMain在0x40561A）。

（就是这一块，服务有关的API调用可以直接nop掉）

1.      创建互斥体，这是一般样本很常见的行为了

         互斥名：Ghijkl NopqrstuWxy

2.      释放一个DLL文件并加载，dll名称hra33.dll。加载后的DLL功能后面另开一张在说明。

           前两天看到论坛一个样本分析里面也释放了相同名称的样本，我看着像同一个样本，但是看着分析结果不太相同，所以自己已经分析到这了就把它写下去吧。我是新手，大牛轻拍。。。

（再说一下，函数名是我根据功能按照自己的命名习惯重命名的，大家有什么好的重命名习惯可以一起交流哦）

3.      接下来是四个线程，分别有不同的工作：

4.      第一个线程，入口函数我重命名为ipc_copy,它好像想IPC$的方式尝试拷贝一个一个文件，利用这个来枚举windows密码，我不了解IPC$，大牛可以科普下。

（这些应该是它枚举的密码）

（这个应该是它在尝试拷贝文件）

         这个线程的主要功能就这些吧。

5.      第二个线程

         （1）先尝试连接一个主机，sbcq.f3322.org

        （2）搜集操作系统语言、版本、内存、网卡等信息并发送。

         （3）尝试加载hra33.dll，并把加载结果反馈给控制端。

（这个信息是和上面的搜集到的信息一起发送的）

         （4）然后就是一个很大的switch..case…语句对控制端的命令进行处理。主要功能包括，命令执行，dll加载，创建和释放互斥体，进程退出等。不再赘述。

6.第三个线程，主要功能和上一个一样只是回连的地址不同，这个是：www.520123.com

7.第四个线程，和前面的功能也一样，只是回连的地址是：www.520520520.org:9426

         不同的是它处在一个while（1）的循环中，会定时去重连，检测连接状态。

服务程序就是以上功能。

三、hra33.dll模块

1. 判断自身所处环境是否为temp目录，如果不是则将自身拷贝到temp目录并重命名为hrl1D.tmp

2.创建一个新的进程，搜索.rar和.zip文件，并进行感染。

（搜索rar和zip文件）

（往rar和zip文件里面添加文件）

加密算法

1.回连的url地址都使用了base64加密。

2.数据通信部分没有认真分析是否存在加密。

查杀方法

删除对应服务、删除system32目录下拷贝的文件（名称是随机的，可以看看样本的icon,两个是一样的）即可。

其他

一两周之前分析的样本，一直懒得写报告。。。

晚上去跑步了，挺累的，还熬夜，好累，简单写写睡了。

大牛轻拍。安全帽在双11物流大军里还没有到。

phyiex

新手先来学习，支持前辈们的努力工作，最近我安装了一款播放软件，此款软件会劫持360安全浏览器，换成播放器里的一个网页，而且会劫持IE主页，改成http://7xld6q.com1.z0.glb.clouddn.com/，只是属于危害型的，可以用360软件和Wise Care 365 Pro等软件进行修复，每次我要换此劫持网页删掉，把360安全浏览器页面重新弄出来，想问到，各位高手们，这个改主页是不是云劫持呢？

小生不怕不怕

目测要火 后排出售辣条，薯片，巧克力，虾条，棒棒糖，瓜子，混沌，炒米粉，老母鸡汤，宫保鸡丁，火爆大虾，清蒸鲈鱼，爆炒腰花，葱花饼，鸡蛋汤，油条，煎饼，肉夹馍，羊肉串，烤鸡腿，考鸭腿，苹果，香蕉，橘子，番茄，椰子，火龙果，等等等，更有螺旋式套套,低价出售。

萋小磊

目测要火 前排出售瓜子，花生，爆米花，可乐  一个CB  买不了吃亏 买不了上当

LightSylcanus

后排板凳准备好

1485573943

谢谢分享

n123896

很不错 值得学习！！

吾爱丶小灰

看不懂。。。。

maxingfei2

完全看不懂啊需要继续努力学习啊

t2st

分析代码那块好详细，卤煮要是能科普下怎么静态分析代码就更好啦。

willJ

分析得不错，加精鼓励

“但是这个会稍微有点问题就是程序和服务有关的API会失效，所以关键位置位置需要手工改一下”。

这么好的技巧就直接说出来吧。

安静的小酒吧

竟然被加精了了了了。。。受宠若惊！