网游盗号木马分析报告+病毒样本+哈勃分析报告

毫无关系的好吧

样本MD5:
6e8c194f6ec0f50394ea8a8d458e83f2

哈勃自动分析报告：
http://habo.qq.com/file/showdeta ... 50394ea8a8d458e83f2

样本下载地址：
  


密码123

行为描述:
该样本查杀杀毒软件进程，创建全局消息钩子，将自己注入到其他进程，检测到目标游戏进程hook send，recv，connect等函数，截取数据包，窃取游戏账号。

1.样本创建一个线程来执行操作，执行完成后，自删除。



2.线程尝试从%system%\fonts\PACNkAWTwg4Cyb3e.Ttf读取数据，如果文件不存在，则创建文件，写入数据，这个文件在资源管理器中是看不到的，从而达到隐藏的目的，从winhex中可以看到：


3.样本从尾部读取dll文件，异或解密，释放到C:\WINDOWS\system32\56BC86C7.dll


4.然后加载56BC86C7.dll，并执行Dll中的导出函数JUFndB4pARSJ。
JUFndB4pARSJ函数：
        1）提升权限
        2）创建两个线程
        3）第一个线程，死循环，不停枚举进程，计算进程名称小写的MD5，将MD5与下列MD5对比，如果相同则结束进程。
       
        5AC71A9F4372CA7377C7E0C543FBFFFA             safeboxtray.exe
        04D1C083134C2EBECA57A9724B0855D4             360tray.exe
        AE33A1F2459A12A09EC75D71D14B5E89             360safebox.exe 
        3ABD7CD8928FE1F3EB563F43B913CA4B             360safe.exe
        B9E9786EAC82378D3A6E05FCC1E15D2C            未知
        D7DB952BB0FA044F2B9A22FEADB37973             tqat.exe
        1C085B8E02B137AA4EAFBE38CCF3D199             未知

然后将MD5与另一个列表比较如在这个列表中就将DLL注入到这个进程当中。



        4）第二个线程，首先注册全局消息钩子，达到将dll入住到其他进程的目的。然后死循环，不停检\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\项是否存在，如果不存在就创建它以及相应的clisd等注册表项，来达到到通过Explorer加载自己的目的。



5. 56BC86C7.dll的dllmain：
        1）首先将MD5与上述MD5比较，如果相同则结束进程。
        2）判断进程是否是explore.exe如果是的话，就创建互斥体MTX: PACNkAWTwg4Cyb3e，创建成功则执行JUFndB4pARSJ方法，并重新Load自己。
        3）如果不是则检测当前进程名称，如果为目标游戏的进程，则inlinehook send，recv，connect，三个函数，截取游戏数据包，盗取游戏密码。

蓝天二号

今晚  我 诺顿 大杀器

文件名: 6e8c194f6ec0f50394ea8a8d458e83f2
威胁名称: Infostealer.Gampass
完整路径: c:\users\chen wei\desktop\新建文件夹\6e8c194f6ec0f50394ea8a8d458e83f2

____________________________



详细信息
未知的社区使用情况,  未知的文件存在时间,  风险 高





原始
下载自
 未知





活动
已执行的操作: 已执行的操作: 1



____________________________



在电脑上的创建时间 
2014/7/3 ( 22:41:00 )


上次使用时间 
2014/7/3 ( 22:41:00 )


启动项目 
否


已启动 
否


____________________________


未知
诺顿社区中使用了此文件的用户数 未知。

未知
此文件版本当前 未知。

高
此文件具有高风险。

威胁类型: 病毒。 将自身插入或附加到其他程序、文件或电脑区域以感染这些媒介的程序。



____________________________



来源: 外部介质



____________________________

文件操作

文件: c:\users\chen wei\desktop\新建文件夹\ 6e8c194f6ec0f50394ea8a8d458e83f2 已阻止
____________________________


文件指纹 - SHA:
7b896c49ea126208b57c51e917032ca1c9b0b9d3d14959f81b296de7c9691538
文件指纹 - MD5:
不可用

fuzhk

蓝天二号 发表于 2014-7-3 22:40
今晚  我 诺顿 大杀器

文件名: 6e8c194f6ec0f50394ea8a8d458e83f2

看报毒名称，诺顿居然会入库？

小a

蓝天二号

fuzhk 发表于 2014-7-3 22:51
看报毒名称，诺顿居然会入库？

米想到吧？，，

fuzhk

蓝天二号 发表于 2014-7-3 22:52
米想到吧？，，

是呀，今晚诺顿得大开杀戒，沉睡了这么久，该崛起了！

蓝天二号

fuzhk 发表于 2014-7-3 22:54
是呀，今晚诺顿得大开杀戒，沉睡了这么久，该崛起了！

不早了，，该休息了，，留着明天继续。。

XywCloud

bav云杀
巡警云杀
费尔启发杀

尘梦幽然

https://www.metascan-online.com/ ... ad689ae72aa659cd51f

b573684723

火绒



允许后

落漠