盗号木马分析

木马共采用vb和c#两种外壳，来保护真正的核心代码，并采用采用对核心代码加密来躲避杀软，从执行到结束都在内存中，无交互，收集完信息之后直接通过RC4加密后发送到C&C服务器，同时里面有很多反虚拟机和反分析技术。发送完信息直接删除原文件，消失的无影无踪。经分析发现，此盗号木马通过本地的一些配置、缓存、.dat文件可以盗取多种FTP、浏览器、邮箱、虚拟币的账号和密码。

代码分析
此木马一共分为两个版本分别是C#和VB版本，都是通过对目的功能代码进行加密，以及利用注入技术将核心功能注入到僵尸进程中来隐藏其真实目的，然后运行核心功能，进行盗号，然后发送到服务器
我们先看一下大致流程

1 样本首先，从资源里加载了两段字符串，一个是key，一个是要解密的字符串，下图是解密函数

可以看到是一个PE文件。原样本后来就是让这个PE文件运行起来

2继续分析第二个pe文件，第二个pe文件也是用C#写的，这样加密以后放到资源文件也是为了对抗杀软，反编译后可以看到这个文件是个比较完整的后门程序，功能很全，通过资源里面的关键字来判断执行什么功能
首先看看关于对抗分析的

(1) 对抗沙盘,检测到沙盘的核心dll,则退出

(2) 检测warkshark，遍历进程，检测到则退出

（3）对抗WPE pro 一款网络封包器，方法和上面相同

（4）对抗仿真器、虚拟机

此外壳其他的功能
（1） 设置文件和文件的隐藏

（2）循环将绑定的资源文件放到本地并执行

（3）下载文件并执行，如果文件存在则删除再下载执行

（4）对文件进行操作，包括删除、拷贝、移动、更改创建时间、创建目录等

（5）用schtasks.exe,添加任务

（6）提升权限

（7）取得默认浏览器

此木马只用里面的一个功能，就是从资源文件找到核心文件解密然后注入

我们看看注入路径，此木马注入的vbc这个系统进程

3接下来看看注入的文件，也是木马的核心盗号文件
里面有反启发式查杀的代码，而且这个函数调用了不止一次

木马作者会尝试提权，如果提权不成功的话，就会模拟用户登录来获得权限，在或得权限以后会获取用户名

之后就会遍历HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall这个注册表下面软件的UninstallString和DisplayName键值主要是获取软件名和和安装路径，为以后盗号做准备

黑客在样本还加密一份密码表通过两层解密，首先通过移位和异或将加密代码还原出来再将这份代码异或1解密出来，留作以后爆破登录，破解用户密码
第一层解密

第二层解密

之后木马开始盗取账号，黑客主要通过在上面收集的软件安装路径来将和自己将要盗取的软件合并来爆破，或者通过注册表来查找软件，查找到软件后主要通过一些配置文件和.ini和.Dat文件和历史记录来查找用户信息下面是部分影响列表

受到影响的FTP软件有：

邮箱软件

浏览器软件，主要通过历史记录

此外黑客还会盗取很多比特币软件的信息

之后黑客会把收集到信息通过CR4加密，密钥是通过解密获得的
可以看到原始密码和解密函数

解密函数，通过简单的加减解密

加密后的数据通过post 发送到 C&C服务器

发送完消息以后黑客会释放一个9821343.dat文件到C:\Documents and Settings\Administrator\Local Settings\Temp文件夹
这个文件会删除恶意文件来帮助黑客隐藏