css.exe逆向分析
分析量太多了、都贴上来我就要抓狂了、而且上色也是个问题、所以各位自己欣赏附件里的idb吧……idb分析的很详细、而且部分函数有MSDN解释~
- -通过程序内部对资源段的配置信息读取可以很明确的确认这个病毒是一个由木马生成器产生的病毒、- -很羡慕那种编译模式啊、就是XP的记事本的编译模式、我咋整都整不出来……、
话说其实我怀疑主程序是生成自解压包那种程序做出来的、……
- -病毒启动部分分析完毕、其实这只是一个外壳而已、做坏事的都是从CAB包里释放出来的垃圾
0006FE20 01014C88 ASCII "MSCF"
一点点关于idb里函数的说明:
s_strnXXX系列函数就是多一个'\\'这个玩艺
释放出来的js2.exe负责创建僵尸进程services.exe然后安装服务、启动。
僵尸进程自然是不好调试、我们要做点手脚、把它的入口OOXX一下
首先我们要了解401730这个线程负责初始化程序IAT、所以去执行核心前必须先用它初始化一些必要的函数
00401E90这个函数就是401730这个线程里唯一有用的东西
第二点就是程序的核心函数,可以在主线程WndProc的401B00里找到,就是401910这个线程
所以我们的新入口代码也就构建好了
call 00401E90
jmp 401910
把这两句覆盖到入口、这样就可以在虚拟机里方便的调试病毒核心了
这里笔记一点关于js2的调试记录
剩下的就是那个远程控制Dll的分析
启动的新服务行为:键盘记录、屏幕捕捉、剪贴板读取/设置、屏幕控制、……
基本上没有什么新意、网上应该能找到很多类似于这些功能的代码吧……- -我就偷个懒,这里就不分析了……
好了、本木马分析到此结束。
附件里是病毒释放出的所有文件还有idb分析文件,附带一张IDA生成的核心Dll的流程图,请用wingraph32打开。
另外病毒样本源自这里
http://www.52pojie.cn/thread-59402-1-1.html
附件
http://u.115.com/file/f2e5187c63
附件密码
Azure[LCG]
最后贴一点在VirusTotal上的扫描结果……
- -看来病毒作者应该已经在生成这个东西的时候提交过一次、想看看有多少杀毒软件可以查出来。
重新扫描的结果
- -差不多是个杀软就能扫出来……
主程序扫描结果……