一个论坛木马样本简单分析

YHZX_2013

先附上链接：http://www.52pojie.cn/forum.php?mod=viewthread&tid=351299&extra=page%3D1%26filter%3Dtypeid%26typeid%3D15

1、表面上的掩饰：
这个程序会双击之后，打开一张图片，装作图片浏览器？看看是如何实现的。
首先，主要的函数功能在sub_4024c0，在OD里面可以看到调用了一个函数，是sub_4035E0：
跟进去可以发现，程序获取了临时目录的路径，并拼接出了一个图片的绝对路径：

通过利用写死的字符串KLJEWERHsdwqeh23211!@asdqSADwe、bXBAJ0InPSxVSAMTEAxdVRYTSUMrAx4IU3U5KCIH进行变换，在内存中生成图片内容：

然后创建jpg图片，并开始写这个图片的内容：

接下来调用ShellExecute，利用图片处理器执行jpg，造成了exe是个图片阅览工具的假象：



2、隐藏的一些小动作
掩饰工作完毕后，接下来是一些小动作：

首先使用CreateMutexW创建互斥体，然后进行判断是否成功。
接下来进了一个坑，sub_40d1f0，这个里面有一个RaiseException函数抛出异常：

还好OD可以查看SEH链：

然后断下来：

最后又回到主要功能函数，发现一个小动作：

一连串，完成获取临时文件路径，文件创建与拷贝（把自身拷贝到了tmp文件夹），然后用winexec执行运行自己的一个拷贝（虽然文件的是.tmp结尾做掩饰）。

还有另外一个小动作，在Timer的响应函数里面，断下来过，发现是在查找对应的窗口，在004022c0：

还有一个可疑函数sub_401f40，但是没有断下来：


最后附上火眼的结果分析：



P.S.肯定有我分析遗漏的地方，希望大家一起讨论~

feichu

{:1_934:} 上次我司客服人员接了一个文件说是充值没到账 给了一个rar解压包 客服人员不懂木马之类的 解压后 运行了 快捷方式的图片 经分析 快捷方式图片触动 启动隐藏bat bat语句 打开隐藏exe木马和隐藏图片 不懂的以为电脑卡。。 然后出现一张真长图片。。。。

Earlsen

写的不错！支持楼主！看看学习一下

1004468140

学习了！