Trojan.PSW.QQShou.bc分析报告
作者:安子矜
邮箱:anbingchun@sina.com
程序中加了upx的壳
(脱壳前程序可分三部分
_!!92.exe 程序由三个部分组成:
41245c 到最后是一个实现脱壳功能的代码;
40e000 --41245c 存储的是被压缩后的代码,脱壳前的特征码加在这里
400000--40e000 解压后的代码会放在这里。脱壳后的特征码该加在这里)
1.修改注册表项,
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
"Rapdyop" = c:/documents and settings/jm/desktop/_!!92.exe
达到开机后自动运行的目的
2.查找是否有一下安全软件的进程:
江民软件的进程 kvmonxp.kxp
瑞星的监控进程 ravmon.exe ravmond.exe ravstub.exe ravtimer.exe rfwmain.exe rfwsrv.exe
卡巴斯基的进程 kav.exe kavsvc.exe
木马克星 iparmor.exe
天网防火墙的进程pwf.exe
绿鹰PC万能精灵 adam.exe
3.将自己的一个副本存放到FileName = "C:/DOCUME~1/jm/LOCALS~1/Temp/temp~3"临时文件中。
4.动态加载RegisterServiceProcess()函数,将当前进程(即病毒进程)注册为服务
5.查找桌面上的窗口是否有名为“瑞星杀毒软件”的窗口,如果有的话,向该窗口发送Message(WM_CLOSE)消息,将其关闭。
6.查找名为“传奇客户端的窗口”,如果有的话,会进一步查找其子窗口,TComboBox、TEdit。找到后通过GetKeyboardState、GetAsyncKeyState函数判断是否在指定区域(传奇客户端窗口)范围内,单击了鼠标左键(由于GetAsyncKeyState函数传入的虚拟键盘值是1表示鼠标左键,此处需要纠正一下)如果是的读取子窗口中的内容。
其中TComboBox子窗口,是一个带有下拉滚动条的输入框,此时,向其发送WM_GETTEXT消息,获得要进入的游戏区和服务器的名称,病毒将其内容与病毒体中原有数据进行比较。具体过程是先判断“传奇客户端”窗口登陆的是否是病毒要盗窃的游戏区,如果是的话再查找是否登陆的是想要盗窃的服务器。
例如:病毒先将记录游戏区的字符串与“传奇一区”比较,如果一致,就接着比对服务器的名称,是否与“光芒(上海)”、“雷霆(上海)”,如果不一致,接下来分别与“传奇二区”、“海纳百川(百区电信专区)”直到字符串一致。
如果游戏区和服务器的名称都于病毒体内的数据一致,则读取其他几个写有用户名和密码的TEdit子窗口内容,
于是传奇玩家的个人信息就被窃取了。
(此处做了详细跟踪,对其实现方式有了较清楚的认识,仿做一个应该不会有太大问题)
6.成功获得了用户信息后,病毒构建了一个如下结构的报文:
MAIL FROM:
RCPT TO:
DATA
FROM:
TO:
Date:
Subject:
X-Mailer: QqGhost
MIME_Version:1.0
Content-type:multipart/mixed;Boundary=c
Content-type:text/plain;Charset=gb2312
Content-Transfer-Encoding:8bit
通过网络将盗窃来的用户信息发送的chuanhua.nease.net。
以前写的一个病毒分析报告,报告写的比较细,基本上根据本文的描述,可以写出一个类似技术的病毒。本文仅限于爱好者交流学习。
扫一扫
1088
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
