WoW盗号木马分析报告 - wParma

概述:

样本特征: 67f4fff7b479aceeebf7882cd61c40bb

样本大小: 57,640 字节。

编译特征: Microsoft Visual C++ [Overlay]，UPX外壳处理过。

病毒名称:Win32. PSWTroj.WOW.ac(暂定)

病毒性质:这个样本是盗号木马,通过在宿主程序的内存中获取敏感信息,危害账号安全。

行为概述:1.替换系统文件,达到破坏安全软件使自己能够生存的目的。

2.InlineHook WoW.exe多处地址获得敏感信息

病毒行为分析

（一）流程总览

图-1

病毒的整体流程如图-1所示:

1. 首先病毒会判断宿主是否为ctfmon.exe，如果是的话则执行结束杀软流程,主要针对360安全卫士

2. 如果宿主是WoW.exe那么病毒会执行盗取魔兽世界账号流程,对游戏进行暴力特征匹配找到出现明文信息的位置然后做inlineHook得到敏感信息。

(二)病毒主要负载分析:

病毒的主要负载是对WoW账号的盗取流程如图-2所示:

图-2

1. 首先病毒通过自己实现的GetProcAddress获取CreateThread地址

2. 然后病毒创建了盗号线程sub_10005046如图-3所示：

图-3

1. 首先病毒会在附加数据中读取发送账号密码的地址,并通过10005EE4对读出的地址解密，解密过程是简单的异或如图-4所示,解密后的地址如图-5所示:

图-4

图-5

2. 再次判断宿主是否为WoW.exe，如不是退出，如果是进入步骤3

3. 睡眠0x5DC毫秒,然后调用sub_10001928根据传入特征进行暴力匹配，一共10处暴力匹配,如图-6所示。

图-6

4. 判断匹配是否成功，如果成功则执行步骤6,如果失败执行步骤5。

5. 睡眠0x7DD秒再次调用sub_10001928根据传入特征进行暴力匹配如果成功到步骤6如果失败直接退出。

6. 调用sub_10001c3c根据前面匹配到的特征进行InlineHook如图-7所示。

图-7

sub_10001928暴力搜索流程,如图-8所示：

图-8

sub_10001c3c inlinehook的流程如图-9所示:

图-9

（三）病毒辅助模块分析

病毒通过替换系统文件结束杀软的流程如图-10所示:

图-10

1. 首先病毒判断360tray.exe进程是否存在，不存在直接退出,如果存在进入步骤2。

2. 以时间为种子生成4位随机的字母。

3. 将d3d8thk.dll重命名为d3d8thk.dll重名为为d3d8thk.dll重名为为d3d8thk.dll+4位随机数。

4. 替换DLL缓存目录和system32目录下的d3d8thk.dll。

此外病毒还有免杀手法,在调用某些系统API的时候经过变形处理病毒通过自实现的 sub_10005DC4获取了系统API地址,然后将地址保存在ebx，随后将ebx-1如图-11所示：

图-11

在调用系统API的时候直接调用原系统API地址-1，起到秒杀的作用，如图-12所示:

图-12

再看一下kernel32中导出函数的情形 每个导出函数代码起始位置上面都是NOP为这种免杀的方式提供了基础如图-13所示：

总结

通过对这个木马的逆向学习了,盗号木马编写的一般手法,为以后的分析工作积累了经验。

新年第一篇……