恶意软件分析之盗号木马

 

一、基本信息

样本文件: 萌妹变声器.exe

MD5: c60ae3b94c83fbd7978df31c65090458

传播途径:利用QQ群邮件传播

样本下载地址: https://www.lanzous.com/i2dtued

二、详细分析流程

无意中发自己小号加入的一个群里经常发这种玩意,出于好奇下载一个研究下

下载到本地360卫士,直接删除了,于是添加白名单

为了节约时间先上传某勃分析系统发现,

提示没有风险,关键信息透露的也很少,需要更多叫我升级(意思收钱),不理他

1.先查壳

没有壳,使用vs2015及以上版本编写

2.IDA静态分析

查看导入表,发现一些比较可疑的API,比对发现软件使用了CURL开源库

初步确认,这应该是一个win32程序,开始表演…….直接从程序入口查找wmain函数.

mian函数里面就普通的窗口创建,比较可疑的就是窗口影藏.去窗口过程查看

发现在响应窗口创建消息的时候,调用了2个函数和创建一个线程.先去第一个函数查看发现,里面安装了2个钩子函数,一个键盘一个鼠标,分析到这里,可以初步确认为恶意软件.

分别再去钩子函数查看,他有记录键盘和鼠标操作的行为,可以确认该恶意软件为木马.

记录键盘操作

获取剪贴板内容

记录鼠标操作

钩子安装完后创建线程,线程功能为获取顶层窗口标题文本,检测是否有符合条件的窗口

获取到键盘记录后就发送到收信箱子

创建完后调用一个函数,这个函数首先为发起一次http请求,请求地址为收信箱子,内容为一个name的标识.

通过wireshark抓包确认

然后执行到下面再创建线程去获取QQkey

线程函数里面分为2步,获取QQ号 获取QQkey

因为获取QQ号的那个端口不是固定的,他这里循环遍历端口430+i

发送构造好的http包,当返回正确的QQ号后函数返回

拿到QQ开始获取QQkey

还在构造http请求包

构造完发送请求

OD分析确认:

 

总结

木马在创建窗口的时候安装键盘和鼠标钩子,再创建线程检测顶层窗口标题,并且记录键盘,当鼠标转移的时候就整理键盘记录发送到箱子,创建线程完发送一个确认连接到箱子,后面再创建线程构造http包,获取QQ号,通过返回的QQ号来获取QQkey,获取到Key后就发送到服务器.该木马使用了CURL来进行http通信,而且木马没有注册表操作,也就是说进程结束后就不会启动.

(完)