木马下载者用上真的数字签名

巨盾

作者：Sagittarius （巨盾安全论坛版主）
http://bbs.ggsafe.com/viewthread.php?tid=3410

今日截获一样本:hxxp://1.88888wyt.com/02.exe***,签名信息如图
[后来发现一样本无VM，有能力的可以自己分析一下看看hxxp://1.88888wyt.com/01.exe。]
MD5:D32A7864378C4A8C0375FE346CC5C0B4
SIZE:76.9 KB (78,792 字节)
PEID:Borland Delphi 6.0 - 7.0 [Overlay](加有VMP)

文件行为:执行后，会下载执行
hxxp://down.88888wyt.com/2.exe
MD5:65602BE91B920FC84AD3CBBFA0F8325B
SIZE:578 KB (592,646 字节)
PEID:Nothing found [RAR SFX] *

该文件为一RAR自解压程序，里面捆绑有三个程序.
使用WINRAR打开如图:



经分析其中捆绑的三文件如下:
146.exe 为当前最流行的木马群下载器(会恶意替换qmgr.dll,appmgmt.dll等众多系统分析服务组件)。
18.exe  为QQ钓鱼程序
001.exe 为恶意广告程序，有恶意劫持浏览器快捷方式等行为（刚001.exe(Trojan.ADWare.21511)发现一个恶心的行为:劫持qq目录下的LoginCtrl.dll,QQ起来的时候，就会加载隐藏在QQ目录下的allgrams.exe
除此之外还会劫持新老版QQ，和迅雷
QQ 2009 TaskTray.dll
QQ 2008 logincontrl.dll->logincontrls.dll
迅雷 mp.dll ->mps.dll
通过这些DLL劫持来启动allgrams.exe。让广告程序再次重生）

kaba2

有没样本？发一个看看…

巨盾

直接下载吧，帖子中的***去掉

白羊座

真的……MD验证签名有效……

sharkking

2009-12-25 14:35:48        被拒绝        Opera Internet Browser                hxxp://1.88888wyt.com/02.exe        在数据库中检测到该网址               
被卡巴发现了~ 这病毒是不是很老了？

巨盾

真的……MD验证签名有效……
白羊座 发表于 2009-12-25 14:35

可能是这家签名被盗用了，可惜
这样的结果就是签名会被微软废掉吧？

白羊座

回复 5# sharkking


    时间        拦截内容
14:32:46        已拦截 遨游浏览器 访问 hxxp://1.88888wyt.com/02.exe [恶意网址]

sharkking

回复 7# 白羊座


    遨游和IE8防马和恶意很强，不过opera更无视~[:27:]

fido_lee

的确。

太恐怖了。

jxb21

恐怖