在劫难逃 发表于 2008-12-4 10:11:44

Trojan-PSW.Win32.Lmir.bnx样本分析

<P>  病毒名称: Trojan-PSW.Win32.Lmir.bnx</P>

<P>  病毒类型: 木马</P>

<P>  文件MD5: 5CD80D1B024986FD8D626391DB23051E</P>

<P>  公开范围: 完全公开</P>

<P>  危害等级: 3</P>

<P>  文件长度: 67,377 字节</P>

<P>  感染系统: Windows98以上版本</P>

<P>  开发工具: Borland Delphi 6.0 - 7.0</P>

<P>  加壳类型: 无</P>

<P>  病毒描述:</P>

<P>  该病毒属木马类,病毒运行后复制自身到系统目录%windir%下,重命名为IGM.exe,备份病毒名为:庆贺十七大祖国越来越好,衍生病毒文件192896MM.DLL、888,并删除自身;修改注册表,添加启动项,以达到随机启动的目的;使用IE浏览器打开网站“中国残疾人联合会” (http://www.cdpf.org.cn/);该木马可以盗取用户网络游戏传奇的账号与密码。</P>

<P>  行为分析:</P>

<P>  本地行为:</P>

<P>  1、病毒运行后衍生病毒文件,并删除自身:</P>

<P>  %Windir%\192896MM.DLL</P>

<P>  %Windir%\IGM.exe</P>

<P>  %Windir%\庆贺十七大祖国越来越好</P>

<P>  %Windir%\888</P>

<P>  2、修改注册表,添加启动项,以达到随机启动的目的:</P>

<P>  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run</P>

<P>  键值: 字串: " WinSysM"="C:\WINDOWS\IGM.exe"</P>

<P>  3、使用IE浏览器打开网站“中国残疾人联合会”</P>

<P>  http://www.cdpf.org.cn/</P>

<P>  4、该木马可以盗取用户网络游戏传奇的账号与密码。</P>

<P>  注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32.</P>

<P>  %Temp% = C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量</P>

<P>  %Windir%\ WINDODWS所在目录</P>

<P>  %DriveLetter%\ 逻辑驱动器根目录</P>

<P>  %ProgramFiles%\ 系统程序默认安装目录</P>

<P>  %HomeDrive% = C:\ 当前启动的系统的所在分区</P>

<P>  %Documents and Settings%\ 当前用户文档根目录</P>

<P></p><p align='center'><b> 下一页 </b></p> <

                </P>

<P>  代码分析:</P>

<P>  1、复制原文件到系统目录%Windir%下,并重命名为IGM.exe:</P>

<P align=center>





<TR>

<TD bgColor=#f2f2f2><PRE>0040513D   .50            push eax                  ; |ExistingFileName 0040513E   .E8 49ECFFFF   call Trojan-P.00403D8C    ; \CopyFileA</PRE></TD></TR></P>

<P>  2、删除病毒原文件:</P>

<P align=center>





<TR>

<TD bgColor=#f2f2f2><PRE>0040516A   .50            push eax                      ; /FileName 0040516B   .E8 34ECFFFF   call Trojan-P.00403DA4      ; \DeleteFileA</PRE></TD></TR></P>

<P>  3、使用IE浏览器打开网站“中国残疾人联合会” (http://www.cdpf.org.cn/):</P>

<P align=center>





<TR>

<TD bgColor=#f2f2f2><PRE>00405248   .6A 05         push 5               ; /IsShown = 5 0040524A   .6A 00         push 0                ; |DefDir = NULL0040524C. 68 70554000push Trojan-P.00405570; |Parameters = <BR>                                                 "http://www.cdpf.org.cn/"00405251.68 88554000push Trojan-P.00405588 ;|FileName = "IEXPLORE.EXE"00405256.68 98554000push Trojan-P.00405598       ; |Operation = "open"0040525B.A1 98784000mov eax,dword ptr ds:   ; |00405260.50         push eax                        ; |hWnd =&gt; NULL00405261.E8 9AEFFFFFcall Trojan-P.00404200         ; \ShellExecuteA</PRE></TD></TR></P>

<P>  4、添加IGM.exe为注册表启动项:</P>

<P align=center>





<TR>

<TD bgColor=#f2f2f2><PRE>00405273   .B9 A0554000   mov ecx,Trojan-P.004055A0   ;ASCII "WinSysM" 00405278   .BA A8554000   mov edx,Trojan-P.004055A8   ;ASCII <BR>                           "SOFTWARE\Microsoft\Windows\CurrentVersion\Run"</PRE></TD></TR></P>

<P>  以下为病毒衍生文件192896MM.DLL的反汇编代码:</P>

<P>  5、检查网络是否正常连接:</P>

<P align=center>





<TR>

<TD bgColor=#f2f2f2><PRE>003D6381   .68 98633D00   push 192896MM.003D6398    ; /Arg1 = 003D6398 003D6386   .E8 E5EEFFFF   call 192896MM.003D5270    ; \192896MM.003D5270</PRE></TD></TR></P>

<P>  6、检测mir1和mir2的进程ID:</P>

<P align=center>





<TR>

<TD bgColor=#f2f2f2><PRE> 003D733D   .B8 2C743D00   mov eax,192896MM.003D742C   ;ASCII "mir1.dat"003D7342   .E8 E9DDFFFF   call 192896MM.003D5130      ;检测mir1的进程ID003D7347   .E8 18D1FFFF   call &lt;jmp.&amp;kernel32.GetCurrentProcessId&gt; <BR>                                                   ; 003D734F      74 4C         je short 192896MM.003D739D;检测mir1的进程ID,<BR>                                          如果不存在则跳转到检测mir2的进程ID 003D738B   &gt; /68 38743D00   push 192896MM.003D7438   ; /Arg1 = 003D7438003D7390   . |E8 DBDEFFFF   call 192896MM.003D5270   ; \192896MM.003D5270;绑定mir1 003D73A2   .B8 50743D00   mov eax,192896MM.003D7450;ASCII "mir2.dat"003D73A7   .E8 84DDFFFF   call 192896MM.003D5130   ;检测mir2的进程ID003D73AC   .E8 B3D0FFFF   call &lt;jmp.&amp;kernel32.GetCurrentProcessId&gt;<BR>                                                    ; 003D73B4      75 66         jnz short 192896MM.003D741C   ;(如检测不到<BR>                                             mir2的进程ID则跳转到退出界面。 003D7402   &gt; /68 5C743D00   push 192896MM.003D745C   ; /Arg1 = 003D745C003D7407   . |E8 64DEFFFF   call 192896MM.003D5270   ; \192896MM.003D5270;绑定mir2</PRE></TD></TR></P>

<P>  7、检查用户游戏玩家装备、元宝、等级:</P>

<P align=center>





<TR>

<TD bgColor=#f2f2f2><PRE>003D7FCC|.BA C0823D00   mov edx,192896MM.003D82C0 003D7FD1|.E8 C6B8FFFF   call 192896MM.003D389C      ;检查玩家身上装备 003D80FF|.BA E8823D00   mov edx,192896MM.003D82E8003D8104|.E8 5BB9FFFF   call 192896MM.003D3A64         ;检查玩家包裹装备 003D81AA|.68 FC823D00   push 192896MM.003D82FC003D81AF|.8D55 C4       lea edx,dword ptr ss:003D81B2|.8B07          mov eax,dword ptr ds:003D81B4|.E8 3FC6FFFF   call 192896MM.003D47F8         ;检查玩家金币 003D81EE|.68 18833D00   push 192896MM.003D8318003D81F3|.8D55 C0       lea edx,dword ptr ss:003D81F6|.8B07          mov eax,dword ptr ds:003D81F8|.E8 FBC5FFFF   call 192896MM.003D47F8         ;检查玩家等级</PRE></TD></TR></P></p><p align='center'><b>上一页 </b></p> <
页: [1]
查看完整版本: Trojan-PSW.Win32.Lmir.bnx样本分析