首页
论坛
课程
招聘
[原创]hook007木马分析
2015-9-20 18:44 14954

[原创]hook007木马分析

2015-9-20 18:44
14954
报告名称:  hook007木马分析                                            
  作者: 安静的小酒吧                                                     
  报告更新日期:  2015-9-29                                    
  样本发现日期:  2015-9-20                       
  样本类型: .lnk  .bat  .dll                        
  样本文件大小/被感染文件变化长度:    nvwsrds.dll 36KB  ;temp 133KB
  样本文件MD5 校验值:  dll:22248627F964FE6CD6A137C9FBB12A58
                                  temp:7C0FE5CA914753BB93351508836A266F
  样本文件SHA1 校验值: dll:0EBE9036BD96BC39AB5F20468BC0C62CDC1BDC1D
                                  temp: 0A749DABF30E729D26C0D81772F6C7C5936DD519           
  壳信息:     无                                                   
  可能受到威胁的系统:                                
  相关漏洞:                  无                                 
  已知检测名称:   
hook007系列样本已近有很多分析了,这是我找其中一个变种的分析。分析过程主要是OD动态调试为主。
360安全博客对这个系列的样本描述如下:
这个样本已经有5年历史,饱经360的查杀,却依旧在不断的更新。采取各种免杀手段去避开360安全卫士的查杀,该样本对用户的诱惑性也特别的强,该样本主要利用了用户的安全意识薄弱,诱导用户点击一些看似不会造成危害的快捷方式,在用户点击后,同时也会出现用户预期的效果,以蒙蔽用户。
——————————下面开始进入主题——————————

0x00 样本本身是“价格图.zip”,解压后看到一个快捷方式,和三个隐藏文件(分析样本源码,发现至少应该是四个,可能是我得到的样本不够完整吧,那个bbs.bmp是我自己加上的,后面要用到)


0x01 快捷方式本身指向当前目录的png.bat文件


bat文件开头是unicode格式的直接打开看乱码



从bat可以看出要调用系统的rundll32.exe来调用nvwsrds.dll的avmode函数,后面跟了参数,事实上这个参数是没用用的。

0x02 用OD加载这个dll,先看看dllmain函数,里面没有异常的操作,所以直接调用avmode函数,进去可以看到很多没有意义的汇编指令,应该是用来免杀的,这样的指令在后面还会有很多次出现,遇到之后直接跳过就好。


0x03 判断自身是否已经驻扎到系统里面。
样本先获取自身文件路径,然后使用strstr函数查找nvwing.dll,字符串,如果找到则说明已经在系统里面,否则没有。(这样判断的原因是如果不在系统里面,会将nvwsrds.dll拷贝到另一个目录下并且命名为nvwing.dll,以后都从这里启动)


0x04 在C:\Documents and Settings\Administrator\Application Data目录下创建avmode目录,并将自身复制到该目录下,命名为nvwing.dll(与上一步的判断结合可知上一步是在判断自身是否已经驻扎到系统里面),同时将temp文件复制过去。


0x05 加载shimgvm.dll打开bbs.bmp文件(迷惑用户)从这里可以得知我们得到的样本是不完整的.


从复制后的目录加载nvwing.dll,调用avmode函数,这时样本已经驻扎到系统里面了。


0x06 再次加载后dll做了与前面相同的处理,这里不再赘述。接下来进行了虚拟机检测,检测方式主要是交替使用sldt,sgdt,in三种指令,具体原理看这里:http://blog.csdn.net/whatday/article/details/10393325


0x07 读取temp文件并解密


解密后是一个PE文件


分析加密算法后我自己解密这个PE文件,最后看到是一个dll,但是直接用OD加载出错,原因没有深究。然后原dll模仿PE文件加载,然后转入解密后的dll领空

0x08 写自启动配置文件


0x09 创建互斥体


0x0a 启动了两个线程一个负责网络连接,另一个负责检查杀软,写注册表等
 

0x0b 该样本有两种上线方式
 第一,直接连接IP14.122.155.110


第二,通过连接www.360.cn来判断网络是否连通,然后通过腾讯微博获得另一个IP地址



0x0c 枚举进程查找杀软进程


由于和控制端无法连接,所以动态调试分析到这基本算完了。
样本不算复杂,但是启动的迷惑性较大,大多出现在游戏装备图什么的,大家日后多加注意就好了。
我已带好安全帽,欢迎拍砖,有问题的地方希望不留情面的支出,大家共同进步。

样本在这里: 价格图.zip

[培训] 优秀毕业生寄语:恭喜id咸鱼炒白菜拿到远超3W月薪的offer,《安卓高级研修班》火热招生!!!

上传的附件:
收藏
点赞0
打赏
分享
最新回复 (27)
雪    币: 153
活跃值: 活跃值 (252)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
人在塔在 活跃值 2015-9-20 19:07
2
0
有个叫给力的** 专门卖这个马
一般都是给做游戏的或者淘宝的

从13年才是rundll32这种模式的吧,还会释放Inf文件安装启动项,以前是白加黑的
代码完全抄的别人的,作者就在次论坛
雪    币: 5
活跃值: 活跃值 (19)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
影子不寂寞 活跃值 2015-9-20 19:15
3
0
学习一下。
雪    币: 113
活跃值: 活跃值 (33)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
dalerkd 活跃值 1 2015-9-20 20:32
4
0
请问 枚举进程查找杀软进程后 ,用哪种干杀软的?
雪    币: 60
活跃值: 活跃值 (10)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
安静的小酒吧 活跃值 1 2015-9-20 20:56
5
0
嗯嗯,hook007以前就是白加黑的,经常利用暴风迅雷什么的,现在大都是快捷方式+bat+rundll32
雪    币: 60
活跃值: 活跃值 (10)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
安静的小酒吧 活跃值 1 2015-9-20 21:31
6
0
其实我也纳闷,他枚举之后要干什么,代码中没看出来要干什么,枚举不管有没有杀软都没有后续操作。具体你可以看一下360对其中另一个变种的分析http://blogs.360.cn/360safe/2014/09/12/hook007_trojan/,他认为:结合字符串看,木马应该是试图结束杀软进程,保护木马自身,但是在实际感染过程中,木马并没有执行这个动作,目的是为了避免触发主防策略。这个可能是木马生成器中的可选功能,或者是作者历史上遗留的代码,但是后来没有用到相关逻辑,但是代码仍然在样本中。
雪    币: 3
活跃值: 活跃值 (11)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
Popluna 活跃值 2015-9-21 06:40
7
0
把系统中安装的安全软件类型传递给控制端···
雪    币: 325
活跃值: 活跃值 (34)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
地狱怪客 活跃值 2 2015-10-29 15:11
8
0
康小泡...
雪    币: 224
活跃值: 活跃值 (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
fzman 活跃值 2015-10-29 15:45
9
0
大婶,请收下我的膝盖
雪    币: 113
活跃值: 活跃值 (33)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
dalerkd 活跃值 1 2015-10-29 21:33
10
0
mark一下。。。
雪    币: 13
活跃值: 活跃值 (36)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
小陈ccy 活跃值 2015-10-31 10:50
11
0
顶一下!!!
雪    币: 85
活跃值: 活跃值 (1078)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
龙飞雪 活跃值 2015-11-4 20:50
12
0
康小跑,哈哈
雪    币: 240
活跃值: 活跃值 (53)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
hksoobe 活跃值 2015-11-4 21:06
13
0
不错学习了!!!
雪    币: 7
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
马特达蒙 活跃值 2015-11-10 10:48
14
0
非常典型的白加黑远控木马。
雪    币: 198
活跃值: 活跃值 (106)
能力值: ( LV12,RANK:2670 )
在线值:
发帖
回帖
粉丝
KuNgBiM 活跃值 66 2015-11-10 10:54
15
0
康小泡?
http://www.52pojie.cn/thread-408538-1-1.html
雪    币: 142
活跃值: 活跃值 (24)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
lxsgbin 活跃值 1 2015-11-28 16:01
16
0
rundll.exe 也能过主动防御???
雪    币: 34
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
痞子狗 活跃值 2016-5-30 17:37
17
0
rundll 这么脆弱?
雪    币: 114
能力值: (RANK:20 )
在线值:
发帖
回帖
粉丝
我是谁! 活跃值 2016-10-2 15:12
18
0
兄弟最近在干吗
雪    币: 114
能力值: (RANK:20 )
在线值:
发帖
回帖
粉丝
我是谁! 活跃值 2016-10-10 17:08
19
0
我没分析道DLL解密temp的过程,求一份详细的分析资料!或者视频
雪    币: 2
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
赤脚窃贼 活跃值 2016-10-12 14:53
20
0
我只是想问一个问题,通过逆向分析,可以复现木马的源代码么?
雪    币: 2370
活跃值: 活跃值 (199)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
petersonhz 活跃值 2016-11-19 17:10
21
0
hook007论坛没搜到
雪    币: 2370
活跃值: 活跃值 (199)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
petersonhz 活跃值 2016-11-19 17:11
22
0
应该是裸奔机子
雪    币: 114
能力值: (RANK:20 )
在线值:
发帖
回帖
粉丝
我是谁! 活跃值 2016-11-22 14:32
23
0
源码呢??
雪    币: 286
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
jiamianfan 活跃值 2016-11-22 14:41
24
0
七年没上看雪了。安全越来越被重视了
雪    币: 114
能力值: (RANK:20 )
在线值:
发帖
回帖
粉丝
我是谁! 活跃值 2016-11-27 10:28
25
0
杭州的lx兄弟,最近在干嘛啊。。。
游客
登录 | 注册 方可回帖
返回