吾爱破解 - LCG - LSG |安卓破解|病毒分析|破解软件|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 13965|回复: 209

[PC样本分析] 【原创,第一次发帖】白加黑远控木马分析

    [复制链接]
发表于 2018-7-30 22:33 | 显示全部楼层
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
本帖最后由 dsb2468 于 2018-7-30 23:10 编辑

ps:病毒不是新病毒,新人练手啦,第一次发帖,大家一起交流学习啦


概述:
病毒伪装成一个DLL文件,QQ游戏启动的同时,病毒DLL也会被加载启动(也叫DLL劫持)。病毒加载之后,会在内存中释放出远控模块,通过建立本地端口映射的方式,意图绕过某些安软的网络拦截,从而控制目标计算机。


病毒目录文件如下:
图片3.png

病毒运行加载流程如下:
图片2.png
详细分析:
1、启动方式:
首先,病毒作者将关键文件全部隐藏打包了起来,只留了了一个快捷方式,通过调用CMD的方式,打开目录下的QQ游戏大厅程序:
图片4.png


而QQ游戏大厅程序在启动的过程中,会去加载一个名为:factory.dll的文件,由于Windows本身所设定的DLL加载顺序,目录下的这个factory.dll文件将会被QQ游戏大厅所加载:
图片5.png

2、factory.dll
将原版factory.dll和这个病毒的factory.dll进行比较,发现后者多了一些额外的导出函数,仔细观察甚至还会发现,后者有两个导出函数的地址竟然相同,通常一个正常的DLL文件不会这样:
图片1.png

在factory.dll的导出函数中,被调用的是CreateFactorys函数,这个函数的主要作用是执行病毒的初始化安装操作:
图片6.png

在病毒的初始化安装操作中,会先获取加载当前DLL的模块的路径,然后检查此路径下是否存在io.dat文件(被加密的DLL文件),若不存在则直接退出,猜测是用这种方法来反自动化检测程序,防止被发现。若文件存在,则读取到内存中,然后进行解密操作,解密出来发现是另一个恶意DLL文件(远控的核心部分):
图片7.png

此处所使用的解密算法,通过对比LZMA的压缩算法库(右边是LZMA压缩库的源代码),可以看出,作者采用的其实就是LZMA压缩库:
图片8.png

解密io.dat文件到内存,并且完成校验(检查是否有正常的PE结构)后,将会被加载执行:
图片9.png

程序运行后,会去获取这个新DLL的导出函数地址,并且通过判断当前加载模块的名称是否含有crossfire.exe字样,来执行不同的功能(因为病毒成功加载一次之后,会将文件名改成crossfire.exe,所以从文件名就能够判断是否是首次加载):
图片10.png


3、解密出来的新DLL
这个新DLL拥有2个导出函数QtxVGA和Update,从前面的分析我们可以得知:Update函数用于首次加载执行,而QtxVGA函数用于非首次加载执行。

(1).Update导出函数
在Update函数中,病毒会首先检测是否存在360的进程,若存在,则直接退出。接着,通过检查互斥体(c91fbfd3142a697886)的存在,来判断系统是否已经被感染,以确定是否是否继续执行,若未感染,则继续执行:
图片11.png

接着,将同目录下的文件全部复制到C:\Users\Administrator\AppData\Roaming\MenuStar,并将加载模块的重命名为crossfire.exe:
图片12.png

为了不让双击快捷方式的人产生怀疑,病毒还会释放打开一张准备好的图片,让人放松警惕,图片被加密保存在了temp,dat文件中,解密后调用命令行打开图片:
图片13.png
图片14.png

图片打开之后,病毒会以无窗口的形式运行crossfire.exe,并且在在C盘下创建kwoyou.ini文件,来保存记录病毒运行的日志:
图片15.png

(2).QtxVGA导出函数
函数一开始会去读取之前的日志文件,然后会创建一个线程去配置电脑上的网络代{过}{滤}理信息,如果存在360的话,还会配置端口转发,将96端口的访问全部转发到116.28.191.115:96上去。此处设置端口转发的目的,是和目标服务器之间建立SSH隧道连接,从而绕过防火墙的拦截。将本机的某个端口(96)转发到远端指定机器的指定端口(116.28.191.115:96);本地端口转发是在localhost上监听一个端口。
图片16.png
图片17.png

接着,就进入到了远控的关键函数F_HackKernelModule_0了,在F_HackKernelModule_0中,主要包含了两方面的内容:
  1、获取计算机的IP、名称、系统版本号等信息,加密送给黑客
图片18.png
图片19.png   


2.根据黑客发来的指令,执行相应的操作,如:关闭注销系统、读取模拟键盘、鼠标的操作、屏幕监控、修改注册表、系统服务等
图片20.png
具体如下:
     1、对键盘、鼠标、剪切板的操作:
图片21.png    
     2、对硬盘文件的操作:
图片22.png
     3、对系统服务的操作:
图片23.png
     4、记录按键记录,并保存到dump.log文件中
图片24.png
     5、对注册表的操作:
图片25.png
     6、获取屏幕监控截图
图片26.png

病毒的远控地址为:116.28.191.115:947(已下线)。另外,病毒在与控制端建立连接是,并未直接连接,而是在系统本地利用netsh,创建了一个本地的端口代{过}{滤}理:
图片27.png

猜测创建端口代{过}{滤}理的做法,是为了隐藏其所创建的网络连接,当用户在查看网络连接时,不会被发现该连接是由病毒自身所创建:
图片28.png
==================================================
补充:

病毒的第一个DLL文件(factory.dll),其实是一个PeLoader,主要用于加载其他PE文件到内存中执行,我尝试还原了一下,大致流程如下:
1、加载读取目标DLL文件到内存中,获得文件操作句柄
2、检查PE文件头、PE标志、程序运行环境是否符合预期
3、在堆上分配一个长度52的空间,用于存放一个自定义结构体,结构体定义如下:
图片29.png
4、在内存中申请一段文件头大小的空间,复制文件的文件头信息到这段空间中,并将该空间的地址保存到结构体的dwNtHeaderAddr中
5、复制节区表,调整重定位表、IAT表,设置节区的读写属性,设置TLS表
6、查找目标导出函数的地址,通过判断加载模块的文件名,执行不同的目标导出函数

相关的IDA分析文件,和还原出来的PeLoader加载部分代码,一并附在网盘链接中啦(论坛限制了大小,传不了,囧)

IDA分析文档里面的注释超多,强烈建议和我一样的新手,下载下来试试看

IDA分析文件下载地址:https://www.icloud.com/iclouddrive/0n9T3_B1T7X4tr3OkaU77P1GQ#%E5%88%86%E6%9E%90.rar
病毒样本下载地址:https://www.icloud.com/iclouddrive/06MZY3wDA3y5ddNjkNBAW_AeA#%E7%97%85%E6%AF%92%E6%A0%B7%E6%9C%AC.rar

加载器部分代码还原:https://www.icloud.com/iclouddrive/0gXpzsigRSTuLofB7ofqpbnYA#%E5%8A%A0%E8%BD%BD%E5%99%A8%E9%83%A8%E5%88%86%E4%BB%A3%E7%A0%81.rar
涉及到的加解密算法:https://www.icloud.com/iclouddrive/0JeQ1e0lI9Td2GV1WzlvardjA#%E6%B6%89%E5%8F%8A%E5%88%B0%E7%9A%84%E5%8A%A0%E5%AF%86%E7%AE%97%E6%B3%95.rar

综上,就是本次分析的记录信息,新手练习,大神轻喷

免费评分

参与人数 82吾爱币 +91 热心值 +78 收起 理由
月下老狼 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
Nicklobin + 1 + 1 谢谢@Thanks!
Roman_Black + 1 + 1 我很赞同!
懵懵懂懂 + 1 + 1 用心讨论,共获提升!
夏天下了 + 1 热心回复!
heidongqilin + 2 + 1 用心讨论,共获提升!
youhen233 + 1 + 1 谢谢@Thanks!
a22999 + 1 + 1 谢谢@Thanks!
siuhoapdou + 1 + 1 谢谢@Thanks!
霁夜茶 + 1 + 1 用心讨论,共获提升!
willowsun + 1 + 1 热心回复!
jnez112358 + 1 + 1 谢谢@Thanks!
不安 + 1 + 1 用心讨论,共获提升!
airshelf + 1 + 1 我很赞同!
crysky7ye + 1 + 1 用心讨论,共获提升!
吾爱看雪 + 1 + 1 热心回复!
allunw + 1 + 1 用心讨论,共获提升!
吾爱时尚 + 1 用心讨论,共获提升!
龙飞雪 + 2 + 1 我很赞同!
执念i_ + 1 + 1 热心回复!
华夏利剑 + 1 + 1 萌新表示,只看中文就好了
bcbc + 1 + 1 学习了,谢谢。
a458486 + 1 + 1 热心回复!
hjm666 + 1 + 1 谢谢@Thanks!
Anglersxixi + 1 + 1 谢谢@Thanks!
xiaoxi2011 + 1 + 1 谢谢@Thanks!
1433660296 + 1 + 1 我很赞同!
蜗牛也很牛 + 1 + 1 我很赞同!
温忠海 + 1 + 1 我很赞同!
喻于与玉 + 1 + 1 我很赞同!
temp81 + 1 我很赞同!
sniper9527 + 1 + 1 谢谢@Thanks!
wxy123 + 1 + 1 热心回复!
老板来包辣条 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
2585281523 + 2 + 1 大佬讲解的很详细,多谢分析
Decimal + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
你怎么长不高啊 + 1 + 1 用心讨论,共获提升!
Ganlv + 3 + 1 用心讨论,共获提升!
1027102633 + 1 + 1 用心讨论,共获提升!
smile1110 + 3 + 1 我很赞同!
dongxie + 1 + 1 我很赞同!
ak8126 + 1 + 1 热心回复!
lookerJ + 1 + 1 学习了
lee是我大哥 + 1 + 1 很强大这个马出来几年了
Erdouing + 1 + 1 用心讨论,共获提升!
编草鞋的蚂蚱 + 2 + 1 我很赞同!
FENGMUTIAN + 1 + 1 谢谢@Thanks!
梁同学 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
sunnylds7 + 1 + 1 热心回复!
七度空间 + 1 + 1 厉害,!
EsToi + 1 我很赞同!
Cherishao + 1 + 1 用心讨论,共获提升!
玩世不攻 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
liphily + 3 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
名字啪啪 + 1 + 1 热心回复!
栀蓝 + 1 + 1 谢谢@Thanks!
无痕软件 + 3 + 1 用心讨论,共获提升!
wxue + 1 + 1 谢谢@Thanks!
ainimemeda + 1 + 1 热心回复!
linzi0713 + 1 + 1 360全盘杀毒杀得掉吗?或者有什么好的方法清除掉这个病毒?
czxtzh + 1 + 1 用心讨论,共获提升!
又红又专 -1 + 1 用心讨论,共获提升!
x51zqq + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
demon_lin + 1 用心讨论,共获提升!
haxcode + 1 用心讨论,共获提升!
xiaoming3344 + 1 + 1 热心回复!
wale + 1 + 1 热心回复!
MXWXZ + 3 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
暖色慢慢看 + 1 + 1 谢谢@Thanks!
tame + 1 然而加密算法的解压密码是什么
vince991 + 1 热心回复!
心病 + 1 + 1 我很赞同!
AmIzero + 1 + 1 热心回复!
wmsuper + 2 + 1 分析得很棒
小熊快回来 + 1 + 1 谢谢@Thanks!
小俊 + 2 + 1 谢谢@Thanks!
高苗苗 + 1 我很赞同!
杀阡陌爱花千骨 + 1 + 1 用心讨论,共获提升!
GleamJ + 1 + 1 我很赞同!
RoB1n_Ho0d + 1 + 1 学习了
xuwang1234 + 1 + 1 我很赞同!
Tankes + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!

查看全部评分

本帖被以下淘专辑推荐:

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

发表于 2018-7-30 22:55 | 显示全部楼层
虽然我看不懂,说不定以后就用上了!

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

发表于 2018-7-31 07:44 | 显示全部楼层
受教了 LZ很用心啊

免费评分

参与人数 1吾爱币 +1 热心值 +1 收起 理由
xuantianxiedi + 1 + 1 就冲你头像,支持

查看全部评分

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

 楼主| 发表于 2018-7-30 22:57 | 显示全部楼层

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

发表于 2018-7-30 22:58 | 显示全部楼层
虽然不懂,但还是谢谢楼主的精彩分析!!!

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

发表于 2018-7-30 23:12 | 显示全部楼层
哈哈 学习中,树状图是真的一目了然,小白也能明白整个流程了。

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

发表于 2018-7-30 23:39 | 显示全部楼层
谢谢楼主的精彩分析!!!

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

发表于 2018-7-31 01:01 来自手机 | 显示全部楼层
楼主也算的上是中不溜啦

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

发表于 2018-7-31 05:25 来自手机 | 显示全部楼层
第一次就这么牛

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

发表于 2018-7-31 08:36 | 显示全部楼层
原来这样的原理啊  学习了学习了

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则


免责声明:
吾爱破解所发布的一切破解补丁、注册机和注册信息及软件的解密分析文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。

Mail To:Service@52PoJie.Cn

快速回复 收藏帖子 返回列表 搜索

手机版|小黑屋|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2018-10-18 02:25

Powered by Discuz!

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表