摘要:樣本下載樣本原文件鏈接我的分析過程包括提取的文件以及等鏈接提示請勿實體機分析樣本信息文件名稱樣本一,解壓后有兩個快捷方式顯示隱藏文件后,總共有個文件依次查看這幾個文件,就是一張空白圖,是自寫的一個動態庫,中包含一堆數據,中內容是創建目錄
樣本下載
樣本原文件 鏈接
我的分析過程包括提取的文件以及idb等 鏈接
提示:請勿實體機分析
文件名稱:樣本一.zip,解壓后有兩個快捷方式
顯示隱藏文件后,總共有6個文件
依次查看這幾個文件,bbs.bmp就是一張空白圖,nvwsrds.dll是自寫的一個動態庫,temp中包含一堆數據,png.bat中內容是
(1). mkdir "%programfiles%"-創建目錄
(2). rundll32.exe nvwsrds.dll,avmode -fn wmmmnbjhgigh-使用nvwsrds.dll中的avmode函數,并且傳入參數wmmmnbjhgigh
IDA加載nvwsrd.dll,定位到avmode函數,靜態分析不友好,因為程序包含大量花指令,并且字符串時動態解密的
釋放文件nvwimg.dll
創建目錄 C:UserspyAppDataRoamingavmode,然后創建文件
C:UserspyAppDataRoamingavmode
vwimg.dll,最后將nvwseds.dll中的內容拷貝到nvwimg.dll中
temp
創建文件 C:UserspyAppDataRoamingavmode emp,將原目錄下的Temp文件內容復制到C:UserspyAppDataRoamingavmode emp
decrypt
當拷貝nvwimg.dll函數之后程序會加載C:....avmode
vwimg.dll,并且退出當前的
nvwsrds.dll,進入nvwimg.dll之后程序會運行到解密temp的區域,首先讀取temp文件到內存,然后將數據以異或再相加的方式解密,解密之后程序直接跳轉到解密區域繼續執行
avmode.inf
之后程序調用解密后PE程序的Run函數,在Run函數中,創建文件
C:UserspyAppDataRoamingavmodeavmode.inf,并且寫入數據
具體寫入的數據為:
[Version]網絡特征
Signature="$CHICAGO$"
Provider=t@t.com, 2002
[DefaultInstall]
; DelReg=run_DelReg
AddReg=run_AddReg
[run_DelReg]
[run_AddReg]
hkcu,"SoftwareMicrosoftWindowsCurrentVersionRun","Update",,"rundll32.exe ""C:UserspyAppDataRoamingavmodeBitavmode.dll"",avmode"
[Strings]
獲取IP地址(1)
使用InternetOpenA初始化WinINet,InternetOpenUrlA連接到ip查詢網站ip38.com
獲取IP地址(2)
使用InternetOpenUrlA訪問http://t.qq.com/xiaokanrenshe...,然后InternetReadFile讀取返回的頁面代碼,strtok以”IP=”為分割字符分割源碼字符串,從而得到IP地址
建立套接字并通信
和上面得到的IP地址建立套接字連接與之通信,并建立線程后臺接收數據
HKCUSoftwareMicrosoftWindowsCurrentVersionRun
快捷方式2會調用LaunchINFSectionEx函數讀取avmode.inf添加注冊表鍵值
還有很多寫注冊表的操作,但是需要服務端發送命令再執行相應的操作,詳見功能描述
其它行為創建互斥體
使用CreateMutex創建互斥體
多次調用ShellExcute
在nvwsrds.dll中調用兩次ShellExcute函數來運行rundll32.exe,第一次傳入打開圖片的函數來打開bbs.bmp,具體參數為:”rundll32.exe shimgvw.dll,ImageView_Fullscreen c:userspydesktop圖片bs.bmp”,第二次運行加載C盤nvwimg.dll中的avmode函數
在Run函數中調用一次ShellExcute來打開pdf.bmp
開啟線程對抗殺軟
枚舉系統進程,通過字符串比較,判斷是否含有殺毒進程
開啟線程發送本機系統信息
在線程中會獲取主機名,操作系統版本信息,套接字信息,當前系統信息,磁盤類型信息,磁盤大小容量,本地時間等等,某些信息或通過查詢注冊表項獲得,然后發送給服務端
本地程序會根據服務端傳來的數據,執行相應的操作
獲取系統信息
使用GetVolumeInformation,GetLogicalDriveStrings,GetDiskFreeSpaceEx,GetDriveTypeA等API獲取磁盤相關信息
截屏
使用GetDesktopWindow,GetDC獲取設備上下文,GetSystemMetrics獲取主屏寬高,CreateCompatibleDC,CreateDIBSection,SelectObject創建位圖,SetRect,BitBlt重寫位圖實現截屏功能
開啟攝像頭
創建線程并使用capGetDriverDescription,capCreateCaptureWindow獲取攝像頭信息,之后使用IsWindow,SendMessage實現攝像頭監控,使用ICSendMessage,
ICSeqCompressFrameStart壓縮捕獲的視頻數據,后續發送給服務端
監控鍵盤輸入
先寫了一個完整的窗口程序包括注冊窗口類,創建窗口,刷新窗口以及窗口回調函數,在窗口回調函數中,使用GetForegroundWindow監控最前端的窗口并獲取窗口輸入框文本,使用GetKeyState獲取按鍵狀態,最后將獲取的輸入數據寫入C:Windowswininfo.dat
之后會有個線程讀取wininfo.dat并發送給服務端
錄音
建立線程,在線程中使用waveInGetNumDevs,waveInPrepareHeader,waveInOpen,
waveInStart打開錄音設備,錄音后保存在文件中并發送到服務端
遠程調用cmd
使用CreatePipe創建匿名管道,然后創建cmd.exe的進程,用管道完成進程間的通信(因為遠控端只能控制這個進程需要管道與本進程外的進程通信)
遠程關機
設置shutdown的權限后,調用ExitWindowsEx實現遠程關機
下載程序并執行
調用火狐或者IE之類的瀏覽器,打開特定的網頁(網址由參數給定),然后InternetOpenUrlA下載,InternetReadFile讀取下載數據,使用WriteFile寫入文件,最后CreateProcess創建進程運行下載文件
清空系統日志
使用OpenEventLogA,ClearEventLogA清理系統日志
開啟IE瀏覽器
打開注冊表” HKEY_CLASSES_ROOTApplicationsiexplore.exeshellopencommand”獲取value,即得到IE的完整路徑,然后CreateProcess創建進程運行
獲取所有進程ID
CreateToolhelp32Snapshot創建進程快照,Process32First,Process32Next遍歷進程然后獲取進程信息包括進程名進程ID發送給服務端
獲取輸入框文字
使用EnumWindows配合WindowText枚舉所有窗口并獲得編輯框文字,然后直接發送給服務端
開啟服務
使用OpenSCManagerA,OpenServiceA,StartServiceA以及CloseServiceHandle開啟任意服務
寫注冊表
寫注冊表:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTermService
Value:Start=2
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
Value:Keeprasconnect=1
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal Server
Value:Fdenytsconnect=0
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerLicensing Core
Value:Enableconcurre=1
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTermServiceParameters
Value:Servicedll=%SystemRoot%system32termsrvhack.dll
彈窗
使用MessageBox彈窗
控制執行Userinit.exe
枚舉系統進程,當不存在explorer.exe是,調用cmd執行Userinit.exe
遠程關閉資源管理器
枚舉系統進程關閉explorer.exe資源管理器
該樣本是一個遠控木馬,兩個快捷方式是為了釋放文件到C盤并且添加注冊表啟動,核心的木馬功能代碼隱藏得很深,需要加載nvwsrds.dll釋放運行nvwimg.dll,然后在nvwimg.dll中加載temp數據解密到內存然后跳轉到解密后的代碼區域。在核心木馬代碼中首先非常隱蔽的獲取了遠控端的IP地址然后與之建立套接字,再開啟線程接收遠控端發來的指令從而執行對應的操作,最后還開線程清理系統常見的殺毒軟件進程從而實現長久駐留!
該木馬實現的功能有:獲取本機系統信息(包括磁盤類型,磁盤容量,文件屬性,系統版本,本地時間等),截取當前屏幕,開啟攝像頭,監控鍵盤輸入,錄音,遍歷本地可執行文件的所有模塊(module),遠程調用cmd,遠程關機,遠程下載任意文件到本機,清空系統日志,打開IE瀏覽器,寫注冊表關鍵位置,創建可執行文件并運行,發送本機所有進程名及進程ID,枚舉所有窗口程序的輸入框獲取輸入文字,開啟任意服務,獲取特定進程的空閑時間,彈窗,遠程執行Userinit.exe,遠程關閉資源管理器explorer.exe
END文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/11411.html
摘要:開源項目起因最近做病毒分析的時候遇到遠控馬,需要記錄連接的遠程地址用火絨劍或者可以看到一部分,但是我想要更全面的信息,于是搗鼓了和。使用比較簡單,但是只能看到的流量,雖然能捕獲所有流量,但沒法過濾特定進程的包,而且過濾規則對我來說太復雜了。 開源項目QPA 起因最近做病毒分析的時候遇到遠控馬,需要記錄連接的遠程地址!用火絨劍或者ProcessMonitr可以看到一部分,但是我想要更全面...
摘要:經錢盾反詐實驗室研究發現,該批惡意應用屬于新型。可信應用商店繞過殺毒引擎,這樣病毒自然能輕松入侵用戶手機。安全建議建議用戶安裝錢盾等手機安全軟件,定期進行病毒掃描。 背景近期,一批偽裝成flashlight、vides和game的應用,發布在google play官方應用商店。經錢盾反詐實驗室研究發現,該批惡意應用屬于新型BankBot。Bankbot家族算得上是銀行劫持類病毒鼻祖,在...
摘要:微信公眾號分享前端后端開發等相關的技術文章,熱點資源,全棧程序員的成長之路。福利詳情請點擊免費資源分享 showImg(https://segmentfault.com/img/remote/1460000016873908); 前言 需求:獲取當前日期的前一個月份 當月有 31 天時,JS 日期對象 setMonth 問題 1. 一般做法 當前日期如果不是 31 號, 是沒問題的,是...
閱讀 3782·2021-09-23 11:32
閱讀 2451·2021-09-06 15:01
閱讀 1616·2021-08-18 10:24
閱讀 3450·2019-12-27 11:44
閱讀 3605·2019-08-30 15:52
閱讀 2512·2019-08-30 11:11
閱讀 671·2019-08-29 17:27
閱讀 600·2019-08-29 16:22