本帖最后由 fivemoe 于 2012-7-1 12:22 编辑
样本
http://www.orsoon.com/Soft/13086.html
导出后的木马
http://115.com/file/dpjp03w4
切听我细细到来
http://www.huacolor.com/soft/59114.html
前日在此处下载而得,原以为加强版可能去除了搜索字数限制或者什么的,
解压后发现主程序大小竟有66m,便觉得奇怪,
但出于对华彩软件的信任,也便没像往常般沙盘测试软件。。
接着便中招了,裸奔系统中招无疑。。
因为该木马会自动终止进程并删除explorer.exe使得桌面无法显示,
而且如果恢复explorer.exe到windows目录下仍会无限被删除。
在恢复到其他目录时却不被删除。。
---------------------------------
随后分析了该软件
木马主程序----无限制搜索工具2012.exe
该程序经过分析为多个程序捆绑而成,通过hex查看可发现多段this program can not run in dos 得知
随后鄙人不情愿撞上了360进行检测发现木马
C:\Program Files\Common Files\Microsoft Shared\bte\mstscccc.exe
使用资源管理器无法进入该目录,后分析得知用cxxx.exe(忘了,样本不小心连沙盘删了),对目录进行特殊处理
这个mstscccc.exe近日在论坛也出现过。。曾经也出现过。。
图标为tuneup2011的程序。。
无限制搜索工具2012.exe调用cyypp.dll这个真实的p2psearcher主程序,你重命名为cyypp.dll运行便可知了。。
-----------------------------------------------------------
于是,鄙人用邮件方式通知了下载网站该软件带木马,不久后收到回复说交到了他们的检测小组。。
随后该网站检测小组的成员发来邮件,以下为部分邮件内容
------------------ 原始邮件 ------------------
发件人:"小唯";
发送时间:2012年6月29日(星期五) 晚上10:28
收件人:"860272010"<860272010@qq.com>; "49900165"<49900165@qq.com>;
主题:[重要!!]非投递,举报网站木马软件!!
49900165 6月29日 22:31
发给: 小唯; 860272010
发件人:49900165 <49900165@qq.com> 拒收
时 间:6月29日 22:31
主 题:回复:[重要!!]非投递,举报网站木马软件!!
收件人: 小唯 <z.eroplus@qq.com>; 860272010 <860272010@qq.com>
邮件处理:已于 2012年6月29日(星期五) 晚上10:33 回复了此邮件
------------------ 原始邮件 ------------------
发件人:"剑"<80148414@qq.com>;
发送时间:2012年6月29日(星期五) 晚上11:04
收件人:"z.eroplus"; "860272010"<860272010@qq.com>;
主题:回复:关于网站木马
但是我查过,真没有你所说文件生成的现象,关于你说的那个DLL文件,看下图吧,就是一个调用的DLL.
剑 6月29日 23:07
发给: z.eroplus; 860272010
发件人:剑 <80148414@qq.com> 拒收
时 间:6月 剑 6月29日 23:09
发给: z.eroplus; 860272010
29日 23:07
主 题:回复:关于网站木马
收件人: z.eroplus <z.eroplus@qq.com>; 860272010 <860272010@qq.com>
邮件处理:已于 2012年6月29日(星期五) 晚上11:09 回复了此邮件
基实本身软件就没什么问题,他这个DLL之前只是一个EXE,作者故意改别人的东西,所以写了一个主程序起调用的作用,这个文件我也分析给你看了,像我平时也很喜欢改成这种调用,因为我怕别人改我的破解软件,所以也会这样改改,如果你还认为有病毒,那我就真没办法了.
发件人:剑 <80148414@qq.com> 拒收
时 间:6月29日 23:09
主 题:回复:关于网站木马
收件人: z.eroplus <z.eroplus@qq.com>; 860272010 <860272010@qq.com>
邮件处理:已于 2012年6月30日(星期六) 下午2:37 回复了此邮件
说了只是的一个临时文件,起码我一直测试用得好好的,没发现有问题,呵呵
该“检测”人员固执认为没有木马,草草进行测试软件,并自称进行了严密的测试,反编译查看,鄙人真不知他是如何
测试的。。。无言。。。一句临时文件后便不再回复邮件,网站上的软件依旧挂着,直至鄙人多方采集证据,进行更为
严密的测试后发去结果方才将该软件删除。。
也不吭声回复邮件,他也没脸了
---------------------------------------------------------------
再第二次测试中发现除了C:\Program Files\Common Files\Microsoft Shared\bte\
还会生成C:\Program Files\Common Files\Microsoft Shared\msinfo文件夹下的66m inf文件,这个论坛也出现过
大同小异。。
查看无限制搜索工具2012.exe 发现其中内容与之前爆出的“驾校一点通”类似,在mstscccc.exe及IEFILES5.inf中发现了大量相同字段
---------------------------------------------------------------
另这个软件需要打开放着一段时间才会发作。短时间的测试无法使其现出原形。。。。
在此抛砖引玉,各位分析分析
|
[复制链接]
发表于 2012-7-1 10:27:33
楼主
