简介
针对魔域的一款盗号木马
被感染系统及网络症状
在没有安装游戏的电脑:
C:\WINDOWS\system32\dllcache\dsound.dll文件以及C:\WINDOWS\system32\dsound.dll文件大小由359kb增加到361kb
在安装指定游戏的电脑:
游戏目录下面多出了一个dsound.dll(已被感染),多出一个msvcp80.org(盗号主体)
文件系统变化
未安装指定游戏后的文件系统变化:
感染后在Temp木有会有一个kb****.nvv文件,
在C:\ProgramFiles\Common Files\System有一个kv****.nvv文件,
在C:\WINDOWS\system32会有一个dsound.dll.OLWU,
在C:\WINDOWS\system32\dllcache有一个dsound.dll.OLWU,
C:\WINDOWS\system32\dllcache\dsound.dll文件以及C:\WINDOWS\system32\dsound.dll文件大小由359kb增加到361kb,
Temp目录生成一个tempVidio.bat文件。
安装指定游戏后的文件系统变化:
感染后在Temp木有会有一个kb****.nvv文件
在C:\WINDOWS\system32会有一个dsound.dll.dat
感染C:\WINDOWS\system32\dsound.dll.dat
将感染后的dsound.dll.dat拷贝到游戏目录下面并改名为dsound.dll
将kb****.dll以文件名mscvp80.org拷贝到游戏目录并设置系统隐藏属性
注册表变化
程序会遍历注册表,寻找游戏痕迹。
网络症状
通过HTTP发信方式发送游戏用户信息出去
详细分析/功能介绍
当样本在未安装游戏的电脑运行运行后做如下操作:
1.首先动态获取提权API进行提权操作,然后遍历进程,查看是否有AutoPatch.exe以及soul.exe进程
2.获取Temp目录,以资源的方式在目录下面释放一个文件(文件命名通过开机到现在的时间得到一个kb****.nvv的文件)
3.打开释放在temp文件下面的kb*****.nvv向文件写入340字节数据(加密后的收信地址)
4.查询注册表是否拥有soul键值
5.打开游戏目录下面的msvcp.org文件,设置属性为常规,将Temp目录下面的kb****.nvv以文件名mscvp.org拷贝在游戏目录下面
6.打开C:\Windows\system32\dsound.dll做操作,在当前目录拷贝一份名字为dsound.dll.dat,查看是不是有texc区段,没有就增加这个区段
7.将C:\Windows\system32\dsound.dll.dat以文件名dsound.dll拷贝到游戏目录下面
8.在Temp目录下面生成一个批处理文件(tempVidio.bat),达到自删除的效果,运行批处理文件,然后结束进程。
当样本在安装游戏的电脑运行运行后做如下操作:
1. 首先动态获取提权API进行提权操作,然后遍历进程,查看是否有AutoPatch.exe以及soul.exe进程
2. 获取Temp目录,以资源的方式在目录下面释放一个文件(文件命名通过开机到现在的时间得到一个kb****.nvv的文件)
3. 打开释放在temp文件下面的kb*****.nvv向文件写入340字节数据(加密后的收信地址)
4. 查询注册表是否拥有soul键值
5. 将temp目录下面的kv****.nvv文件拷贝到C:\Program Files\CommonFiles\System,然后设置属性为隐藏
6. 打开C:\Windows\system32\dsound.dll做操作,在当前目录拷贝一份名字为dsound.dll.dat,查看是不是有texc区段,没有就增加这个区段(这里程序为了避免系统发出文件丢失的警告,同时修改了C:\Windows\system32\dsound.dll与C:\WINDOWS\system32\dllcache\dsound.dll)并且在这两个目录下面还有dsound.dll.OLWU备份
7. 在Temp目录下面生成一个批处理文件(tempVidio.bat),达到自删除的效果,运行批处理文件,然后结束进程。
对劫持的dsound.dll分析:
在没有游戏文件夹的情况下:
dsound.dll会去LoadLibrary C:\ProgramFiles\Common Files\System\kv*****.nvv文件
在有游戏文件夹的情况下:
Dsound.dll就在游戏目录下面,会去调用当前文件目录下面的msvcp80.org(这个文件其实就是kv****.nvv)文件
对盗号主体文件的分析:
1. 加壳了一个UPX的壳,先去OEP
2. 判断调用自己的进程是不是soul.exe,不是就退出
3. 解密收信地址,解密后的地址是(解密算法就是异或操作):
没有权限发表URL地址
4. Hook了游戏进程的MessageBox前五个字节,跳向的恶意代码的地址,恶意代码通过载入SoulLogin.dll与dinput8.dll来获取密码
5. 通过Http向指定空间发送游戏用户信息:
QQ截图20121212103458.jpg (80.28 KB, 下载次数: 11)
下载附件 保存到相册
预防及修复措施
手动修补方式:
1 重启电脑
2 F8进入安全模式
3 删除C:\WINDOWS\system32与C:\WINDOWS\system32\dllcache\下面的dsound.dll与dsound.dll.OLWU,从干净的系统中拷贝一份dsound.dll在这两个目录下面。
4 删除Temp目录下面的kv00000000.nvv,删除C:\ProgramFiles\Common Files\System\kv00000000.nvv
5 删除游戏文件目录下面的dsound.dll与msvcp80.org文件
技术热点及总结
木马的主要核心技术就是通过劫持游戏需要的关键DLL,通过系统DLL载入恶意程序,恶意程序通过修改MessageBox的入口代码跳向执行恶意代码,恶意代码通过载入用户soullogin.dll与dinput8.dll截获用户游戏信息,再通过HTTP方式发送到指定的地址
评论
不错啊,楼主技术很好!!
评论
重装可能更快 电路 电子 维修 求创维42c08RD电路图 评论 电视的图纸很少见 评论 电视的图纸很少见 评论 创维的图纸你要说 版号,不然无能为力 评论 板号5800-p42ALM-0050 168P-P42CLM-01 电路 电子 维修 我现在把定影部分拆出来了。想换下滚,因为卡纸。但是我发现灯管挡住了。拆不了。不会拆。论坛里的高手拆解过吗? 评论 认真看,认真瞧。果然有收
·日本中文新闻 唐田绘里香为新剧《极恶女王》剃光头 展现演员决心
·日本中文新闻 真子小室夫妇新居引发隐私担忧
·日本中文新闻 前AKB48成员柏木由纪与搞笑艺人交往曝光
·日本学校 {日本国际学校}梅田インターナショナルスクール
·日本学校 LINE:sm287 陳雨菲、20歳、台湾からの留学生、東京に来たばかり
·日本留学生活 出售平成22年走行48000km 代步小车
·日本华人网络交流 円相場 一時1ドル=140円台まで上昇?
·日本华人网络交流 问日本华人一个问题
·日本旅游代购 富山接机
·生活百科 英国转澳大利亚转换插头
·汽车 【求助】修车遇到困难怎么办?