Trojan/Microjoin.t 捆绑在游戏的外{过}{滤}挂中,与其他外{过}{滤}挂传播的方式不同,使用百度的收费推广,在推广捆绑的文件中使用带有签名的的文件来混淆下载用户的判断,运行后释放病毒与外{过}{滤}挂文件到临时目录,运行后联网下载病毒至本地。捆绑过的合体文件,使用了不规则的PE文件格式,导致调试软件无法正常调试。
病毒描述病毒名称 : Trojan/Microjoin.t
文件MD5 : 378e14a910c013ab3db1522f32ff1c86
文件大小 : 72313字节
编写环境 : ASM
是否加壳 : 是_捆绑加壳
文档公开级别 : 完全公开
病毒执行体描述:
Trojan/Microjoin.t 捆绑在游戏的外{过}{滤}挂中,与其他外{过}{滤}挂传播的方式不同,使用百度的收费推广,在推广捆绑的文件中使用带有签名的的文件来混淆下载用户的判断,运行后释放病毒与外{过}{滤}挂文件到临时目录,运行后联网下载病毒至本地。捆绑过的合体文件,使用了不规则的PE文件格式,导致调试软件无法正常调试。
病毒行为流程分析:
一.传播途径
利用百度有偿推广来进行盗号木马的传播,使用擦边的关键词让真正玩家搜索到。
用户下载的文件到本地保存后,是一个压缩包文件,解压后是8个文件。
Dnf双开工具.exe (是捆绑病毒的文件)
其他的文件均为按键精灵正常的组件,驱动签名正常有效,扰乱用户判断压缩包内文件为正常。
二.下载文件运行流程
Dnf双开工具 运行以后,在系统临时目录下释放并且下载一系列文件。
Tyhj.exe 是一个下载的模块,它完成的任务是下载病毒和上报当前机器的信息(MAC地址,主机名称,进程列表)。
Zs140.exe 运行后释放(Xscan扫描器, 1433抓鸡工具 ),自动后台运行Xscan和1433,机器非常卡.
8042687.exe 是一个伪装成瑞星杀毒软件的文件拷贝模块。
rundll87.exe scansock.exe sockhelp32.exe 为dnf游戏操作盗号截取等.
未说明的文件为单独的组件模块,本身功能单一,需要调用配合完成破坏计算机安全。
 1433抓鸡运行的脚本。
三 宿主释放下载者运行
tyhj.exe 为宿主运行后释放出来的下载文件,先检测当前共享数据区的变量是否是第二次运行,第一次运行与第二次运行进入两个不同的流程进行操作。
程序使用32位汇编编写,当数据未初始化,初始化共享数据区,将资源里的dll,释放出来,Dll完成的功能继续调用cmd命令行加载进程自身再次运行。
若已经初始化则进入正常工作流程阶段,首先解密被加密的ShellCode,然后是下载相关的病毒再次继续运行。
检测到有DNF运行直接干掉进程,当用户再次启动dnf游戏 进入游戏输入密码时则被截取。(由rundll87.exe,scansock.exe,sockhelp32.exe完成)
http://cmd.viqxk.com:3737/txt/tuzi140.txt //下载程序的列表
http://cmd.viqxk.com:888/140.asp?mac=&;time=nCnt=ProcessList //统计用户信息上传
http://www.sysmental.com/ip //连接说明的信息
病毒技术要点
Trojan/Microjoin.t样本对盗号病毒的主程序做了多种保护措施,分段解密执行,使病毒查杀虚拟机以及沙盒无法继续分析它,捆绑加壳的特性让在捆绑执行阶段反调试软件, 运行后的特点是分段执行, 分模块执行,一个小的功能释放一个模块,然后加载进入dll执行模块进行调用。文件的数量非常大, 在捕捉时难取到真正的样本,但每个模块都是依赖病毒主程序而运行,单独来看功能很单一不足以认定为病毒。
病毒清理流程
1.下载的dnf双开工具本身就是个捆绑器病毒,但是在运行时,释放到temp目录运行。
2.停止Temp目录内的所有执行文件的活动进程。
3.删除对应的可执行文件。病毒程序下载的多数文件可能已经无法再手动找到,下载江民杀毒对系统进行全面扫描即可清除。 |
发表于 2012-7-26 19:43:59
