资源描述:
《新网购木马分析报告》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库。
1、新网购木马分析报告一.病毒描述:网购木马运行后会在用户使用网银购买商品时,弹出钓鱼页面把用户银行的钱为病毒作者购买联通充值卡或其他商品.该病毒会用带数字签名的好压程序(或暴风程序)来加载病毒模块并将木马模块注入到系统进程中让系统进程作为病毒载体运行.受影响网银:中国银行,中国工商银行,中国民生银行,浦发银行,招商银行等二.变量声明:%System32% win32子系统目录通常为C:windowssystem32%ProgramFiles% 软件安装目录通常为C:ProgramFiles三.病毒文件:半
2、小时前上传下载附件(7.54KB)四.病毒母体工作流程分析(HaoZip.dll):1.正常的好压程序被运行后,该病毒dll会被加载.2.当该dll被加载后,首先会创建一个互斥对象,并通过返回值判断此对象是否存在,如果存在则表示好压程序已经运行并且该dll已经被加载,故会让刚刚运行的好压程序退出.3.如果是第一次被加载,则会首先获得其进程主模块文件名并判断是不是好压程序是否成功运行的标志.4.从dat中读取1024字节(最终PE的SizeofHeaders)到申请的空间中,依次异或0x4c并加0x4d用来解密,最后把解密后的PE头信
3、息存放到文件中24 分钟前上传下载附件(117.92KB)6.创建注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun设置自启动.14 分钟前上传下载附件(94.77KB)7.接着病毒进入了一个while死循环,通过全局变量保存傀儡系统进程的进程ID,每隔5秒检测预先保存的傀儡进程ID是否有效,来判断傀儡进程是否存在,如果不存在就重新创建.直到好压程序被结束才会退出该循环.22 分钟前上传下载附件(68.16KB)五.母体创建傀儡进程分析:1.如果不存
4、在,则进入到创建傀儡进程的流程,这也是母体的一个亮点.2.首先读入dat文件,此文件为最终网购木马的PE头部部分大小1024字节,通过读入内容来校验MZ头PE头等有效性,以及获得SizeOfImageOEP等关键PE信息.3.,然后进行解密,解密方法依次异或0x4c并加上0x4d,先解密PE头部,然后依次解密各个节.在解密过程中会校验,如有不同则不会解密.1 小时前上传下载附件(386.49KB)4.然后获取后续注入用的函数地址:ZwUnmapViewOfSectionVirtualProtectExVirtualAllocExWr
5、iteProcessMemorySetThreadContextResumeThreadReadProcessMemoryGetThreadContextCreateProcessAsUserA等函数的地址,为后续“注入”做准备.5.枚举进程获得Explorer.exe的进程ID,然后获得EXPLORER.EXE的进程访问令牌.6.然后以挂起标志创建傀儡系统进程,应用程序路径为%System32%otepad.exe,把其访问令牌设置为12中得到的Token,并且其桌面设置为winsta0\default,而不是继承其主进程的
6、桌面.16 分钟前上传下载附件(46.19KB)7.获得刚创建的傀儡系统线程上下文ThreadContext.8.获得进程主映像文件的映像加载基地址.即获得系统原文件的ImageBase1 小时前上传下载附件(23.67KB)9.最后传入ImageBase卸载掉进程notepad.exe的主映像.10.在notepad.exe进程中申请空间容纳已经在好压程序进程空间中解密完成的病毒PE文件.11.修改PEB处原进程ImageBase12.在notepad.exe的进程空间中从地址0x00400000开始写入解密后的病毒PE文件.13
7、.并设置此时线程上下文eax的值为病毒PE文件的OEP.然后把上下文信息设置回去1 小时前上传下载附件(71.2KB)14.恢复notepad.exe进程运行,这样貌似正常的系统进程notepad.exe实际上运行的是病毒代码.这样傀儡进程就创建完毕.可见病毒作者对内核还是有一定了解的.六.主功能网银劫持木马文件分析:1.首先病毒运行会创建隐藏窗口,并修改其窗口回调函数.2.设置一定时器Timer,每隔一段时间枚举当前系统进程,检测是否有sougouexplorer.exe的存在,因为病毒的功能是基于IE内核,所以如果用户运行搜狗浏
8、览器则会结束掉.3设置另一定时器Timer,每隔一段时间枚举当前桌面所有窗口句柄,然后调用GetClassName获得其类名,并将类名与InternetExplorer_Server进行比较,如果其类名是InternetExplore
