码迷,mamicode.com
首页 > 其他好文 > 详细

样本1

时间:2020-06-13 10:30:21      阅读:90      评论:0      收藏:0      [点我收藏+]

标签:info   函数   http   html   计算机配置   doc   杀毒软件   窗口   mode   

基本信息

样本名:1
分析环境及工具:windows7 x64、IDA 7.0、OD
md5:6426350e8787b601cf89b67da89d8269

查壳

无壳
技术图片

行为预览

  • 遍历注册表
  • 遍历进程
  • 跨进程读遍历进程内存
  • 创建本地线程
  • 打开了其他进程
  • 访问了网络
  • 设置特殊文件夹属性
    技术图片

具体分析

  • 前面部分简单的判断下bdagent.exe(注:杀毒软件),如果有这个进程则不实行木马行为。会乖乖的注册窗口类,并且创建窗口。
    技术图片
    技术图片
  • 如果没有bdagent.exe则会先收集很多我们计算机的信息,并且把一些加密的字符串给解密出来了
    技术图片
  • 再下面就是获取了网卡、计算机配置,然后创建了个互斥体防多开并且把一些信息进行base64加密。还有一些数据使用了异或加密
    技术图片
  • 再然后是解密出来一个subkey,获取CPU信息,并且获取了语言,如果是0412(韩文),则结束进程。这是韩国人写的木马??后面仍然查询注册表,获取系统版本,Productname等信息
    技术图片
    技术图片
    技术图片
    技术图片
    技术图片
    语言
  • 继续获取信息,并且初始化了网络
    技术图片
  • 接下来是一个最关键的函数了,做的坏事90%都在里面
    技术图片
  • 通过汇编能很快的判断这是一个类,这里我给他重命名了
    技术图片
  • 我们主要看他第二个函数就行第一个和最后一个分别是构造和析构,这里每个函数都干了啥我基本都注释出来了。他获取了这些浏览器的用户数据,还有邮箱的。
    技术图片
    技术图片
  • 获取IE的函数
    第一函数获取IE的数据,是使用了COM组件。
    函数内部初始化了COM对象
    经过调试可以发现是,使用了history sever 调用了Iurhistorystg2
    可以获取IE访问的历史信息
    技术图片
    技术图片
    技术图片
    技术图片
    并且通过下面的注册表访问,获取IE的账号密码信息
    技术图片
    然后枚举,获取里面的数据,并且解密,然后保存
    技术图片
  • 获取火狐的函数
    创建并存储在 一个名为“key3.db”的文件中。利用这个key和盐,使用3DES加密算法来加密用户名和密码。密文是Base64编码的,并存储在一个叫做 signons.sqlite的sqlite数据库中。Signons.sqlite和key3.db文件均位于%APPDATA%\Mozilla \Firefox\Profiles\[random_profile]目录。
    所以我们要做的就是得到SDR密钥。这个key被保存在一个叫PCKS#11软件“令牌”的容器中。该令牌被封装进入内部编号为PKCS#11的“槽位”中。因此需要访问该槽位来破译账户证书。
    下图中两个api找到并读取profile.ini的内容
    技术图片
    技术图片
    获取值
    技术图片
    并且发现了解密函数
    技术图片
  • 谷歌获取
    通过遍历注册表这个的值获取内容
    技术图片
    使用CryptUnprotectData解密
    技术图片
  • 后面的就不细说了,都差不多都是获取数据,然后解密保存等操作
  • 最后一步加密数据发送
    图中可以看到先是格式化了数据然后进行base64加密
    技术图片
    技术图片
    加密的数据
    技术图片
    发送的地方
"POST"
"fenrix.yaahosting.info/html/docu.php"
port:80

总结

  • 这个程序主要用来获取计算机的基本信息
  • 最危害的是会获取以下程序的账号密码等用户的隐私信息
  1. [Internet Explorer(8.0000)]
  2. [Firefox()]
  3. [Chrome()]
  4. [Outlook Express()]
  5. [Windows Mail(6.1.7601 .17514)]
  6. [Windows Live Mail()]
  7. [Outlook()]
  8. [MSN Messenger]
  9. [Windows Live Messenger() ]
  10. [Gmail Notifier()]
  11. [Google Desktop()]

样本1

标签:info   函数   http   html   计算机配置   doc   杀毒软件   窗口   mode   

原文地址:https://www.cnblogs.com/fangaojun/p/13111597.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!