WoW盗号木马分析报告
概述:
样本特征: 67f4fff7b479aceeebf7882cd61c40bb
样本大小: 57,640 字节。
编译特征: Microsoft Visual C++ [Overlay],UPX外壳处理过。
病毒名称:Win32. PSWTroj.WOW.ac(暂定)
病毒性质:这个样本是盗号木马,通过在宿主程序的内存中获取敏感信息,危害账号安全。
行为概述:1.替换系统文件,达到破坏安全软件使自己能够生存的目的。
2.InlineHook WoW.exe多处地址获得敏感信息
病毒行为分析
(一)流程总览
图-1
病毒的整体流程如图-1所示:
1. 首先病毒会判断宿主是否为ctfmon.exe,如果是的话则执行结束杀软流程,主要针对360安全卫士
2. 如果宿主是WoW.exe那么病毒会执行盗取魔兽世界账号流程,对游戏进行暴力特征匹配找到出现明文信息的位置然后做inlineHook得到敏感信息。
(二)病毒主要负载分析:
病毒的主要负载是对WoW账号的盗取流程如图-2所示:
图-2
1. 首先病毒通过自己实现的GetProcAddress获取CreateThread地址
2. 然后病毒创建了盗号线程sub_10005046如图-3所示:
图-3
1. 首先病毒会在附加数据中读取发送账号密码的地址,并通过10005EE4对读出的地址解密,解密过程是简单的异或如图-4所示,解密后的地址如图-5所示:
图-4
图-5
2. 再次判断宿主是否为WoW.exe,如不是退出,如果是进入步骤3
3. 睡眠0x5DC毫秒,然后调用sub_10001928根据传入特征进行暴力匹配,一共10处暴力匹配,如图-6所示。
图-6
4. 判断匹配是否成功,如果成功则执行步骤6,如果失败执行步骤5。
5. 睡眠0x7DD秒再次调用sub_10001928根据传入特征进行暴力匹配如果成功到步骤6如果失败直接退出。
6. 调用sub_10001c3c根据前面匹配到的特征进行InlineHook如图-7所示。
图-7
sub_10001928暴力搜索流程,如图-8所示:
图-8
sub_10001c3c inlinehook的流程如图-9所示:
图-9
(三)病毒辅助模块分析
病毒通过替换系统文件结束杀软的流程如图-10所示:
图-10
1. 首先病毒判断360tray.exe进程是否存在,不存在直接退出,如果存在进入步骤2。
2. 以时间为种子生成4位随机的字母。
3. 将d3d8thk.dll重命名为d3d8thk.dll重名为为d3d8thk.dll重名为为d3d8thk.dll+4位随机数。
4. 替换DLL缓存目录和system32目录下的d3d8thk.dll。
此外病毒还有免杀手法,在调用某些系统API的时候经过变形处理病毒通过自实现的 sub_10005DC4获取了系统API地址,然后将地址保存在ebx,随后将ebx-1如图-11所示:
图-11
在调用系统API的时候直接调用原系统API地址-1,起到秒杀的作用,如图-12所示:
图-12
再看一下kernel32中导出函数的情形 每个导出函数代码起始位置上面都是NOP为这种免杀的方式提供了基础如图-13所示:
总结
通过对这个木马的逆向学习了,盗号木马编写的一般手法,为以后的分析工作积累了经验。
新年第一篇……