摘要:通过ResourceHacker资源分析工具分析了该样本新增了一个自定义的AAAA资源数据,正常情况下新增的资源数据都是用于存放要释放的exe应用程序或者dll模块。结合样本的分析,这个微信协议加好友,仅仅是一个通过伪造成为微信图标的加载器,真正的木马病毒功能在于从样本中释放出来的应用程序。...
背景
前几天,在某社群中看到有用户往社群共享盘中上传一个名称为协议微信加好友的应用软件,并且在社群中宣称
可以无限加好友和不需要通过对方确认就可以直接加好友。这种软件名称和宣传,从个人角度来看,应该就是个属于用钓鱼或远控的恶意软件。出于好奇心就下载了这个软件,并对这个软件进行了功能分析,也就有了这篇文章。
基础分析
(切记:对未知来源和未知风险的软件不可直接在真机环境分析,上虚拟机!)
拿到样本后先通过杀毒软件直接查杀下,先对软件进行辨别下,一些病毒样本是杀毒软件已能查杀识别出的不安全的风险软件。
Trojan/GameHack.ct:把它归类为木马病毒 通过下图 ExeInfo Pe
通过 CFF Explorer 工具分析
通过 Resource Hacker 资源分析工具
功能分析
通过前面的基本数据的分析,对样本有了大概的了解,接下来就
结合 IDA 工具和 ollydbg 工具分析下该样本的实际功能。结合样本的分析,这个微信协议加好友, 仅仅是一个通过伪造成为微信图标的加载器
通过上图的 IDA 中伪代码分析 wWinMain 函数
上图是该样本中实现自删除应用程序的功能,首先往 system32 目录下通过调用 CreateFileW 函数创建一个 hfblddel.bat 的文件,这个文件的内容就是判断自身样本是否还存在,如果存在就直接 del 掉,最后通过调用 ShellExecuteW 函数采用静默的方式执行 bat 文件的内容。
上图是通过启动样本后释放出来的应用程序:微骑兵配套版本、libcurl。
通过实际对微骑兵配套版本的样本分析(应用程序的签名信息;比对真实应用的文件大小和大概功能)
Libcurl 样本分析
这个 libcurl 程序也是通过基于 MPlayer 这个播放器进行修改伪装的恶意软件,这个应用程序的样本也没做好免杀功能,
通过上图 IDA 的流程图中可以看出,该样本功能还是相对比较简单的,但这个也是假象,这个样本的实际功能还是比较强大的, 它会通过调用 CreateToolhelp32Snapshot 创建系统快照,然后查找 qq.exe 进程对其进行实现注入功能,所以也是个注入型的木马病毒。
这个样本中采用 TCP 网络通信方式和服务端 103.229.124.168(动态的 IP,香港的 IP 地址)进行通信 售卖敏感信息 利用敏感信息进行二次攻击了
总结
1、微信加好友应用程序是个加载器,这个程序启动的时候会在临时目录下释放两个文件,等释放和启动两个文件后,这个程序就自动退出了。
2、微骑兵这个程序是微信正常旧版本的安装程序,就是为了复现旧版本的微信无限加好友漏洞。
3、Libcurl 这个真正病毒功能的应用程序,这个程序有 tcp 的网络通信,这个程序除了操作微信外,还有对指定的程序进行遍历和注入 qq.exe 功能,属于注入类型的木马。当然它也还有一些其他功能,由于篇幅有限,这里就不进行详细展示了。
切记,对于未知来源和未知安全性的软件不可因为好奇心去下载点击,现在的网络钓鱼手段之所以能成功,一个很重要的因素就是借助人的好奇心。所以好奇心是能害死猫的。虽然这个样本的免杀功能没做好,没有躲过杀毒软件的查杀,但是总有那些不安装杀毒软件的用户吧。另外,对于这种不确定安全的软件的分析,还是得在虚拟机环境或者专门用于样本的分析环境中对样本进行分析。样本的分析可以重点关注于样本的构成部分、样本的运行时的动态调试具体功能分析、样本的文件读写行为、样本操作注册表行为(常用于自启动行为)、样本的网络通信行为。通过这几个行为的分析基本可以分析出样本的大部分功能。
来源:小道安全
排版:老李
