|
論壇說明 |
歡迎您來到『史萊姆論壇』 ^___^ 您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的! 請點擊這裡:『註冊成為我們的一份子!』 |
|
主題工具 | 顯示模式 |
2004-03-09, 01:00 AM | #1 |
榮譽會員
|
對一個莫名的盜號木馬的分析
上次網友小孟發了一個帖文,http://www.patching.cn/bbs/viewdoc.asp?id=28137&bordid=2說要解密一個網頁檔案,我就看了隨便編了個解密的東東看了一下,卻沒想到發現了一個新的尚未被殺毒軟體截獲的病毒。
主要是看這裡面的兩段代碼 http://binfen.jahee.com/page/wzqnba/flash.pif 這應該是個EXE檔案。還有 <p align="center"><font color="#FFFFFF">點擊"是"下載播放必需插件</font></p> 這兩段代碼讓人迷惑,我覺得有點奇怪,索性下載了flash.pif 命令行下 ren flash.pif flash.exe 是delphi寫的 ,主要使用滑鼠和鍵盤紀錄函數。 然後根據登入窗體分析登入情況。 首先先用UE開啟,果然是一個盜號的東西 從下面的大量的傳奇區號還有delcare就看得出這是一個盜號軟體 接著開啟工具反編譯 Code Offset = 00000400, Code Size = 0000D400 Data Offset = 0000D800, Data Size = 00000200 Addr:00011A22 hint(0000) Name: RegisterServiceProcess 註冊成為系統服務,在Win9x下隱身,在win2k下糊弄人 Import Module 009: wsock32.dll Addr:0001196C hint(0000) Name: WSACleanup Addr:0001197A hint(0000) Name: WSAStartup Addr:00011988 hint(0000) Name: gethostname Addr:00011996 hint(0000) Name: gethostbyname Addr:000119A6 hint(0000) Name: socket Addr:000119B0 hint(0000) Name: send Addr:000119B8 hint(0000) Name: recv Addr:000119C0 hint(0000) Name: inet_ntoa Addr:000119CC hint(0000) Name: inet_addr Addr:000119D8 hint(0000) Name: htons Addr:000119E0 hint(0000) Name: connect Addr:000119EA hint(0000) Name: closesocket 把截取到的密碼使用winsock發出去,這點很不高明,因為會被防火牆截取 從上面順序是可以看出它的過程的 Import Module 006: advapi32.dll Addr:0001166E hint(0000) Name: RegSetValueExA Addr:00011680 hint(0000) Name: RegQueryValueExA Addr:00011694 hint(0000) Name: RegOpenKeyExA Addr:000116A4 hint(0000) Name: RegEnumKeyExA Addr:000116B4 hint(0000) Name: RegDeleteValueA Addr:000116C6 hint(0000) Name: RegDeleteKeyA Addr:000116D6 hint(0000) Name: RegCreateKeyExA Addr:000116E8 hint(0000) Name: RegCloseKey 這個應該是註冊為每次開機自動執行 Import Module 002: user32.dll Addr:00011564 hint(0000) Name: GetKeyboardType Addr:00011576 hint(0000) Name: MessageBoxA Addr:00011584 hint(0000) Name: CharNextA Import Module 007: kernel32.dll Addr:00011704 hint(0000) Name: WritePrivateProfileStringA Addr:00011722 hint(0000) Name: WinExec Addr:0001172C hint(0000) Name: TerminateProcess Addr:00011740 hint(0000) Name: OpenProcess Addr:0001174E hint(0000) Name: GetWindowsDirectoryA Addr:00011766 hint(0000) Name: GetProcAddress Addr:00011778 hint(0000) Name: GetModuleHandleA Addr:0001178C hint(0000) Name: GetModuleFileNameA Addr:000117A2 hint(0000) Name: GetLocalTime Addr:000117B2 hint(0000) Name: GetCurrentProcessId Addr:000117C8 hint(0000) Name: GetComputerNameA Addr:000117DC hint(0000) Name: CopyFileA Addr:000117E8 hint(0000) Name: CloseHandle 這個應該是飛form發message來確定窗體是否是需要截取的登入窗體 Import Module 001: kernel32.dll Addr:000112D6 hint(0000) Name: GetCurrentThreadId Addr:000112EC hint(0000) Name: DeleteCriticalSection Addr:00011304 hint(0000) Name: LeaveCriticalSection Addr:0001131C hint(0000) Name: EnterCriticalSection Addr:00011334 hint(0000) Name: InitializeCriticalSection Addr:00011350 hint(0000) Name: VirtualFree Addr:0001135E hint(0000) Name: VirtualAlloc Addr:0001136E hint(0000) Name: LocalFree Addr:0001137A hint(0000) Name: LocalAlloc Addr:00011388 hint(0000) Name: VirtualQuery Addr:00011398 hint(0000) Name: lstrlenA Addr:000113A4 hint(0000) Name: lstrcpynA Addr:000113B0 hint(0000) Name: lstrcpyA Addr:000113BC hint(0000) Name: LoadLibraryExA Addr:000113CE hint(0000) Name: GetThreadLocale Addr:000113E0 hint(0000) Name: GetStartupInfoA Addr:000113F2 hint(0000) Name: GetProcAddress Addr:00011404 hint(0000) Name: GetModuleHandleA Addr:00011418 hint(0000) Name: GetModuleFileNameA Addr:0001142E hint(0000) Name: GetLocaleInfoA Addr:00011440 hint(0000) Name: GetLastError Addr:00011450 hint(0000) Name: GetCommandLineA Addr:00011462 hint(0000) Name: FreeLibrary Addr:00011470 hint(0000) Name: FindFirstFileA Addr:00011482 hint(0000) Name: FindClose Addr:0001148E hint(0000) Name: ExitProcess Addr:0001149C hint(0000) Name: WriteFile Addr:000114A8 hint(0000) Name: UnhandledExceptionFilter Addr:000114C4 hint(0000) Name: SetFilePointer Addr:000114D6 hint(0000) Name: SetEndOfFile Addr:000114E6 hint(0000) Name: RtlUnwind Addr:000114F2 hint(0000) Name: ReadFile Addr:000114FE hint(0000) Name: RaiseException Addr:00011510 hint(0000) Name: GetStdHandle Addr:00011520 hint(0000) Name: GetFileSize Addr:0001152E hint(0000) Name: GetFileType Addr:0001153C hint(0000) Name: CreateFileA Addr:0001154A hint(0000) Name: CloseHandle 這個應該是截取密碼和儲存密碼中其主要作用的東東 我又看了啟動的部分 使用kernel32.dll 來寫檔案,估計是複製自己,為了更好的隱藏 還有其它的... * Possible StringData Ref from Code Obj ->"System.ini" | :0040DFEF 6860E14000 push 0040E160 * Possible StringData Ref from Code Obj ->"Explorer.exe TaskMon32.exe" | :0040DFF4 686CE14000 push 0040E16C * Possible StringData Ref from Code Obj ->"Shell" | :0040DFF9 6888E14000 push 0040E188 * Possible StringData Ref from Code Obj ->"boot" | :0040DFFE 6890E14000 push 0040E190 最後總結一下 他在裡面 監視legend of mir2這個窗體 legend\change password\ legend\enter\ lengend\registry\ 看來我前面有點想錯了 他可以殺掉kavpfw.exe kvfw.exe ravmon.exe ravmonclass zonealarm 好像還監視寫了hklm\software\microsoft\windows\currentversion\runs\ software\borland\delphi\rtl software\borland\locales\ 發出的盜號email的頭是from:mir< 但這個盜號軟體有個致命漏洞,只能盜密碼為1-0,a-z的密碼 對於特殊字元,沒有能力 希望網友上網的時候多多主義網路上的陷阱。 Good Luck |
送花文章: 3,
|