Trojan.PSW.Jianghu.am分析报告

                                                   Trojan.PSW.Jianghu.am分析报告

作者：安子矜
邮箱：anbingchun@sina.com

该病毒加了UPX的壳，
    脱壳后，可以确定病毒为VB编写程序，
    程序中未直接使用操作系统提供的API函数，也没有加载病毒常用的几个动态连接库。而是加载了一个名为MSVBM60.dll，动态连接库（操作系统提供），该动态连接库对系统的API函数进行了封装，从而实现了通过调用MSVBM60.dll提供的函数达到与调用API函数相同的效果。
    在对MSVBM60.dll输入函数的调用上，病毒通过重新构建一个数据表来代替输入表的手法，来达到隐蔽调用的目的。把病毒中要调用MSVBM60.dll中的函数的名字添加到文件尾部（通过壳释放的新的段newIID），在UPX0段的开头建立一个数组，数组中的值分别指向newIID段中的函数，病毒调用相关函数时，通过call指令后边记录的UPX0段中数组元素的地址，找到相关的函数。
    病毒的主函数是 thunRtMain，被封装到MSVBM60.dll动态连接库中。
    该病毒体的作用就是从自身释放出svch0st.exe文件到c:/program files/internet explorer文件夹中，并将该文件通过修改注册表加入启动项。运行该文件，结束病毒体进程
下面对svch0st.exe文件进行分析。
文件没有加壳，依然使用VB编写。

盗窃的对象程序。
ClientShell.bin  天骄游戏文件
GAME.exe 比较多，暗黑，剑侠
QQ.EXE
JXONLINE.EXE 剑侠情缘
FSOnline.exe 封神游戏
TJ2Client.exe天骄2游戏

调用API的方式，还是第一次见
用MSVBVM60.DLL FunctionCall获得要调用函数的入口地址，放在了返回值EAX上，直接用jmp指令跳转到所要动态加载的函数了，在第一次使用是调用了RegCreateKey函数

之后的获得当前运行的进程的Process32First和Process32Next函数，也使用相同手法。
获得当先的进程后，去盗窃对象的进程名称进行比较，（这里程序中有一个问题，只对Process32Next函数获得的最后一个函数进行相应的比较）

下了一个QQ程序，发现并没有偷到密码。

发送部分
根据字符串推测以一个用户的身份登录到网站http://hwwy.www41.cnidc.cn/conn/link.asp?name＝......，并发送信息。
未能找到相关发送函数。