记一次远程木马实现开机启动分析

c0d1 · 发表于 2017-5-8 20:41

这个木马是别人给我的，说是能绕过360实现开机启动，我分析了一下，确实可以实现开机启动，但是能否绕360就不知道了，之后朋友跟我说现在已经绕不过了，又出了新版本的，但是没能拿到
1.测试环境：VMware虚拟机 Win XP SP32.测试工具：IDA pro6.8、吾爱破解专用OD、010Editor、System Safety Monitor3.哈勃分析文件MD5 49bcf60fdc12337f709e8d5998075be6

1

2

其中在NetWork文件夹中只发现了resmon.resmoncfg、dat.dll、key.dat、NetKey.dll，并未发现Mag.ini文件，猜测可能被删除或者是因为无网络连接导致文件未创建。文件abcd被重命名并且移动至C:\windows\system32\tpgenlic.dll，但是也并没有发现这两个文件的踪迹文件delself.bat用于删除木马原始文件以及自身 4.Mm.exe程序使用IDA分析，程序中函数较少，分析起来也比较轻松关键函数sub_401100，发现这个函数实现的很多功能，于是使用OD溯源，发现初始函数sub_4018BA

3

其中sub_401AD0为WinMain

4

用OD跟踪，经过一些mfc初始函数，还是来到了sub_401100位置

5

6

7

该函数大致流程如下，加载名为SkinHu.dll的皮肤模块，如果加载失败程序输出“加载Skin皮肤模块失败！”，然后不执行功能，函数返回

8

如果执行成功，那么将会执行sub_4010D0（CreateFile），函数创建或打开’C:\windwos\system32\clb.dll’，并返回一个可以用来访问这些对象的句柄。实际上用检测是否可以打开注册表（clb.dll(Column List Box)，没有它，注册表编缉器会无法运行）接着创建文件C:\Documents and Settings\All Users\Application Data\NetWork文件夹，并在其下创建resmon.resmoncfg文件：

9

初步分析认为可能是某个漏洞的shellcode，之后会执行sub_401600函数

a

创建虚拟地址，填充内容，主要功能为创建（V2这个VirtualAlloc较难分析，所以也并不清楚具体行为）C:\Documents and Settings\All Users\Application Data\NetWork\dat.dll C:\Documents and Settings\All Users\Application Data\NetWork\key.dat C:\Documents and Settings\All Users\Application Data\NetWork\NetKey.dll C:\Documents and Settings\Administrator\Local Settings\Temp\abcd C:\Documents and Settings\All Users\Application Data\NetWork\Mag.ini C:\Documents and Settings\Administrator\Local ettings\Temp\delself.bat 截获到程序创建的临时bat文件，其路径为：C:\Documents and Settings\Administrator\Local Settings\Temp\delself.bat：

b

Netkey.dll大致看了一下函数，猜测很可能是用于处理远程命令执行请求的Dat.dll由于函数特别多（1240个，还可能包含未被识别的函数），所以分析起来特别麻烦，但是推测开机启动的实现可能存在于这里

c

猜测：由于程序本身并没有发现任何的操作来实现开机启动的可能，所以问题可能发生在生成的dll文件中，

1.可能是写入注册表实现自启动

d

在处理mm.exe程序过程中，确实发现有对这个[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]注册表项进行操作，但是此注册表项内容太多，刚开始没注意到，所以需要重新恢复虚拟机快照再次实验。。。，可能性：高

2.可能是注入到了系统自身的dll，随系统启动，可能性：中

不足：对dll的分析能力较差，不能较为精确分析出结果Windwos API掌握度不够，很多函数的用法甚至是名称都不熟
新手分析，这个是从之前写好的doc中复制的，可能看起来有些不舒服，见谅

Alonc · 发表于 2017-5-8 23:03

看看。。支持下

screaming0523 · 发表于 2017-7-21 21:09

给LZ点赞！
就是不知道360检测系统启动的机制是什么... 就按照两种方法的描述来看肯定是绕不过的...

1257845453 · 发表于 2017-5-8 21:01

虽然看不懂但是感觉好厉害的样子

lijx · 发表于 2017-5-8 21:22

1257845453 发表于 2017-5-8 21:01
虽然看不懂但是感觉好厉害的样子

不明觉厉！！

走开让我来 · 发表于 2017-5-8 22:10

不明觉厉~~~

zousir · 发表于 2017-5-8 22:17

让我想起了灰鸽子

一路有你 · 发表于 2017-5-9 07:39

目前没有开放什么远程控制软件了，基本都是封杀了

lvcha128 · 发表于 2017-5-9 08:23

能自动打开摄像头？

01234 · 发表于 2017-5-9 08:52

这种远控要开机启动一般都是服务或者注册表启动项

hikaru10 · 发表于 2017-5-9 09:16

{:1_888:}木马太多,还是得注意保护个人隐私安全.

帐号		自动登录	找回密码
密码			注册[Register]

[PC样本分析] 记一次远程木马实现开机启动分析

免费评分