TrojanDropper.Agent.bxlb
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003/Vista
TrojanDropper.Agent.bxlb 是网上银行钓鱼程序的释放文件,它的主要功能是为网银劫持环境做准备,程序启动后会将自身复制到C:Program Files目录下重命名为zhudong.exe文件,并且从资源中加载释放网银劫持程序,C:Program Fileszhuanye.exe。将程序添加到开机注册表启动项中,创建Notepad.exe进程,Notepad.exe为傀儡进程,创建的时候暂停加载,得到进程的内存的地址,释放后重新申请内存地址,把zhuanye.exe全部映射到Notepad.exe进程中,修改程序执行点运行。
一、
TrojanDropper.Agent.bxlb 病毒程序被加密壳保护,加密壳具备反调试器,反脱壳,反dump等手法,再后面描述中不对加壳引擎进行讨论。
TrojanDropper.Agent.bxlb 运行后首先检测系统环境,得到系统目录的路径,访问系统文件夹下NOTEPAD.EXE(记事本)文件,并且隐藏打开。将自身复制到C:Program Files目录下存放,重命名为zhudong.exe ,并且从自身资源中释放文件到C:Program Fileszhuanye.exe。
添加开机注册表项HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun,每次系统重新启动后会自动加载
zhudong.exe。
二、
创建notepad.exe进程,创建时候就把它挂起。然后得到它的装载基址,使用函数ZwUnmapViewOfSection来卸载这个这个基址内存空间的数据,。再用VirtualAllocEx来个notepad.exe进程重新分配内存空间,大小为要注入程序的大小(就是自身的imagesize)。使用WriteProcessMemory重新写notepad.exe进程的基址,就是刚才分配的内存空间的地址。再用WriteProcessMemory把自己的代码写入notepad.exe的内存空间。用SetThreadContext设置下进程状态,最后使用ResumeThread继续运行notepad.exe进程。(进程劫持类病毒一直使用的技术手段)
Notepad.exe 进程内写入的病毒程序为C:Program Fileszhuanye.exe,它的大小为100M,垃圾数据比较多,在将此病毒脱壳处理后的大小为517 KB,释放的大小为100M,是为了躲避杀毒软件的云鉴定查杀的功能。
其自身隐藏在NotePad.exe中,它的父进程为zhudong.exe,再对NotePad.exe的进程地址空间修改数据后,父进程退出,这时候杀毒软件查杀到了Notepad.exe进程中的数据为病毒时,要上报样本,而父进程已经退出,只能取Notepad.exe来上报,此方法为了躲避杀毒软件得到病毒样本。
三、
当Notepad.exe 进程被篡改后,且运行起来了,为了避免防火墙对进程进行拦截,病毒的作者在baidu里申请了自己的空间,并将真实的配置文件网址存放在自己空间中。再取得到空间的地址后,进行相关配置文件的下载。并且安装系统钩子函数,监视网页相关的进程。对访问网银购买物品的客户,到付款页面的时候,构造自己购买游戏充值卡的页面,当付款页面到达的时候会直接弹出窗口让用户付款,如果客户不在意两个金额而直接付款钱就直接被扣了。监视的页面主要是支付网关的操作。
下图中有此劫持购买的程序所对哪些支付网关有监控,购买跳出页面的则是ztgame的充值卡。并修改相关的网页数据达到欺骗的用户付款的目的。
释放文件
TrojanDropper.Agent.bxlb 运行
释放
C:Program Fileszhudong.exe (TrojanDropper.Agent.bxlb自身文件)
C:Program Fileszhuanye.exe(释放出来的劫持网银购买的)
访问网络
Zhuanye.exe映射到Notepad.exe中,访问。
hi.baidu.com/22222ewq/item/a9d17f3ab4b5817081f1a7f4 (取得自己的网址cnaaa6.com)
qweasdzxc.ri218t.cnaaa6.com/dlog.txt (取得IP配置文件)
iframe.ip138.com/city.asp (得到当前主机的外网ip)
病毒技术要点
TrojanDropper.Agent.bxlb 为了躲避杀毒软件的查杀和上报,使用加密壳来保护自己,其自身膨胀到100M大小,杀毒软件在读取的时候其大小已经超过固定数据区域,所以不会检测文件,就躲避了云查杀,上报由于文件太大,浪费用户带宽,所以也不会上传到服务器上。
在躲避主动防御检测的时候会使用程序,使用傀儡进程Notepad.exe来监控网页程序,当杀毒软件查杀到样本以后直接删除,会删掉系统的Notepad.exe。在连接网络方面使用百度空间来间接访问自己的网络配置文件。
预防和清除:
1、删除C:Program Fileszhuanye.exe,C:Program Fileszhudong.exe
2、删除HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun下键值zhudong
TrojanSpy.AndroidOS.byn
警惕程度 ★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003/Vista
恶意软件概述:该程序伪装成一个android应用,获取用户的手机号码和IMEI、IMSI号上传至远程服务器,并以短信形式发送给指定号码。另外还拦截并获取用户短信。造成用户信息泄露和消耗不必要的话费。
程序运行界面
详细分析:
1:获取的权限
权限 允许攻击者执行如下操作
android.permission.INTERNET 允许连接网络
android.permission.ACCESS_NETWORK_STATE 可以获取网络状态信息
android.permission.READ_PHONE_STATE 可以获取SIM卡信息、手机号码、手机识别码等手机信息
android.permission.SEND_SMS 运行发送短信
android.permission.RECEIVE_SMS 运行接收短信
android.permission.RECEIVE_BOOT_COMPLETED 运行程序开机自动运行
2:主要行为分析
(1)向79637142718这个号码发送了用户的IMEI信息
将获取到的PDU码进行转换得到:
SMSC#
Receipient:+79637142718
Validity:Not Present
TP_PID:00
TP_DCS:00
TP_DCS-popis:Uncompressed Text
No class
Alphabet:Default
000000000000000
Length:15
(2)向85.17.58.90上传用户手机信息
3:代码分析
该木马首先诱骗用户点击按钮后调用js脚本判断用户手机系统版本,对系统版本号为android2.3的用户则弹窗提示IMEI信息,对非android2.3的用户则发送用户设备IMEI信息。发送方式有两种。
(1)以短信形式发送信息。
(2)通过上传至服务器。
先看短信发送方式:
短信的接收号码来自资源文件/res/raw/目录中的配置信息。
接收号码为79637142718。
第二种方式为将信息上传至远程服务器。上传服务器的地址同样来自于资源文件/res/raw/目录中的settings配置信息。
服务器地址为http://funnymobi.ru/admin/server.php,位于荷兰。
即使用户不点击按钮,触发恶意行为也会通过MainApplication的调用而触发。MainApplication是程序启动时最先调用的,其主要作用就是从/res/raw/目录读取settings.json,获取配置信息,同时设置定时器时间。
定时器的功能是定时接收MainReceiver广播,并启动MainService。
如果是定时器触发的广播,则直接开启MainService,设置参数“alarm”。
如果是接收短信的广播,则进行拦截
获取短信发送者和短信内容
同时启动MainService服务,设置参数“catch”。
Mainservice分析
当系统服务开启时,判断接收的参数。如果是"alarm",则开启线程向服务器发送POST请求
上传用户手机IMEI、IMSI和手机号码信息。
获取服务器返回的配置信息并进行解析
将获取的配置信息保存到本地配置文件,更新配置文件中信息。
如果是"catch",则读取配置文件中的号码,发送用户IMEI信息和手机号码到该号码。
钓鱼网站提示:
**.**8866866666.com/
www.**7888888888.com/
www.**7888888888.com/analytics.php
www.**7888888888.com/app/member/upupflash.php
**loadoadadd.**pornornrnn.
挂马网站提示:
http://chengnong.**222.org
http://jiayuquan.**222.org
http://ttrdey54.**222.org
http://hj688.**222.org
http://88899.**222.org
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供