分析一盗号木马(全文字叙述,让大家都看得懂)
报告名称:分析一盗号木马
作者:willJ
报告更新日期:2012/6/2
样本发现日期:未知
样本类型:盗号
样本文件大小:22.3kb
样本文件MD5 校验值:80C5D0C7FD9D09D72B01B4B127886FBB
样本文件SHA1 校验值:D84F754C5CB3141041B39217F2E3C458CB2C8500
壳信息:UPX
可能受到威胁的系统: Windows XP
相关漏洞:无
已知检测名称:未知
操作方法
- 01
针对魔域的一款盗号木马 被感染系统及网络症状 在没有安装游戏的电脑: C:\WINDOWS\system32\dllcache\dsound.dll文件以及C:\WINDOWS\system32\dsound.dll文件大小由359kb增加到361kb 在安装指定游戏的电脑: 游戏目录下面多出了一个dsound.dll(已被感染),多出一个msvcp80.org(盗号主体)
- 02
文件系统变化 未安装指定游戏后的文件系统变化:感染后在Temp木有会有一个kb****.nvv文件, 在C:\ProgramFiles\Common Files\System有一个kv****.nvv文件, 在C:\WINDOWS\system32会有一个dsound.dll.OLWU, 在C:\WINDOWS\system32\dllcache有一个dsound.dll.OLWU, C:\WINDOWS\system32\dllcache\dsound.dll文件以及C:\WINDOWS\system32\dsound.dll文件大小由359kb增加到361kb, Temp目录生成一个tempVidio.bat文件。
- 03
安装指定游戏后的文件系统变化: 感染后在Temp木有会有一个kb****.nvv文件 在C:\WINDOWS\system32会有一个dsound.dll.dat 感染C:\WINDOWS\system32\dsound.dll.dat 将感染后的dsound.dll.dat拷贝到游戏目录下面并改名为dsound.dll 将kb****.dll以文件名mscvp80.org拷贝到游戏目录并设置系统隐藏属性
- 04
注册表变化 程序会遍历注册表,寻找游戏痕迹。 网络症状 通过HTTP发信方式发送游戏用户信息出去 详细分析/功能介绍 当样本在未安装游戏的电脑运行运行后做如下操作: 1.首先动态获取提权API进行提权操作,然后遍历进程,查看是否有AutoPatch.exe以及soul.exe进程 2.获取Temp目录,以资源的方式在目录下面释放一个文件(文件命名通过开机到现在的时间得到一个kb****.nvv的文件) 3.打开释放在temp文件下面的kb*****.nvv向文件写入340字节数据(加密后的收信地址) 4.查询注册表是否拥有soul键值 5.打开游戏目录下面的msvcp.org文件,设置属性为常规,将Temp目录下面的kb****.nvv以文件名mscvp.org拷贝在游戏目录下面 6.打开C:\Windows\system32\dsound.dll做操作,在当前目录拷贝一份名字为dsound.dll.dat,查看是不是有texc区段,没有就增加这个区段 7.将C:\Windows\system32\dsound.dll.dat以文件名dsound.dll拷贝到游戏目录下面 8.在Temp目录下面生成一个批处理文件(tempVidio.bat),达到自删除的效果,运行批处理文件,然后结束进程。 当样本在安装游戏的电脑运行运行后做如下操作: 1. 首先动态获取提权API进行提权操作,然后遍历进程,查看是否有AutoPatch.exe以及soul.exe进程 2. 获取Temp目录,以资源的方式在目录下面释放一个文件(文件命名通过开机到现在的时间得到一个kb****.nvv的文件) 3. 打开释放在temp文件下面的kb*****.nvv向文件写入340字节数据(加密后的收信地址) 4. 查询注册表是否拥有soul键值 5. 将temp目录下面的kv****.nvv文件拷贝到C:\Program Files\CommonFiles\System,然后设置属性为隐藏 6. 打开C:\Windows\system32\dsound.dll做操作,在当前目录拷贝一份名字为dsound.dll.dat,查看是不是有texc区段,没有就增加这个区段(这里程序为了避免系统发出文件丢失的警告,同时修改了C:\Windows\system32\dsound.dll与C:\WINDOWS\system32\dllcache\dsound.dll)并且在这两个目录下面还有dsound.dll.OLWU备份 7. 在Temp目录下面生成一个批处理文件(tempVidio.bat),达到自删除的效果,运行批处理文件,然后结束进程。
- 05
对劫持的dsound.dll分析: 在没有游戏文件夹的情况下: dsound.dll会去LoadLibrary C:\ProgramFiles\Common Files\System\kv*****.nvv文件 在有游戏文件夹的情况下: Dsound.dll就在游戏目录下面,会去调用当前文件目录下面的msvcp80.org(这个文件其实就是kv****.nvv)文件
- 06
对盗号主体文件的分析: 1. 加壳了一个UPX的壳,先去OEP 2. 判断调用自己的进程是不是soul.exe,不是就退出 3. 解密收信地址,解密后的地址是(解密算法就是异或操作): http://k9876.com:8166/fen/kl4/linzw.asp http://121.12.119.130:8166/fen/kl4/linzw.asp http://k9876.com/fen/kl4/wsidny.asp (都失效了) 4. Hook了游戏进程的MessageBox前五个字节,跳向的恶意代码的地址,恶意代码通过载入SoulLogin.dll与dinput8.dll来获取密码 5. 通过Http向指定空间发送游戏用户信息:
- 07
手动修补方式: 1 重启电脑 2 F8进入安全模式 3 删除C:\WINDOWS\system32与C:\WINDOWS\system32\dllcache\下面的dsound.dll与dsound.dll.OLWU,从干净的系统中拷贝一份dsound.dll在这两个目录下面。 4 删除Temp目录下面的kv00000000.nvv,删除C:\ProgramFiles\Common Files\System\kv00000000.nvv 5 删除游戏文件目录下面的dsound.dll与msvcp80.org文件