欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

暗云Ⅲ木马传播感染分析

来源:本站整理 作者:佚名 时间:2017-06-12 TAG: 我要投稿

通过对暗云Ⅲ木马持续追踪分析,腾讯电脑管家发现多个下载暗云Ⅲ木马的恶意程序。经详细分析,此类恶意程序通过对正常的“赤月传说”、“传奇霸业”等游戏微端进行patch,进而伪装成游戏通过各大下载站的下载器等多种传播渠道进行海量推广。
具体分析恶意“赤月传说”微端后,发现无论是patch方式,还是内部的shellcode,与暗云木马一致,也就是说可以确定,暗云木马的开发者与恶意游戏微端的开发者是同一伙人。
 


图1.传播暗云木马的恶意微端安装包及下载器

图2. 安装后的恶意文件
样本概况:
weblander.exe
md5:
***dea3605878631b8feeeb53bfb5b17
***94d7d60f560c0889cebcb5ab53c11

图3. 恶意木马签名
详细分析:
木马使用patch正常游戏微端的方式将shellcode捆绑到正常程序并添加数字签名后进行推广传播。如下图所示为第一个被patch位置。

图4. 第一个被patch文件位置,右侧为木马

图5. patch前的代码

图6. patch后的代码
修改其中的一个call到第一段shellcode位置,使得第一段shellcode1得以执行。
shellcode1行为:
如下图为第二个被patch位置,存放的是shellcode1,其功能是加载被替换的资源。该资源文件原本是一张png图片,木马将其替换成一张尾部附有大量shellcode的图片,木马加载资源后直接执行该shellcode,下面称其为shellcode2。此外,执行完一系列操作后,木马会继续回到原来的位置执行代码,以不影响微端的功能。

图7. 第二个被patch的文件位置

图8. 被patch处的反汇编代码

图9.被patch处的反汇编代码

图10. 资源中的图片尾部被附上数据

图11. 被附上数据的资源图片

图12. shellcode会加载资源,提取图片尾部的附加数据
shellcode2行为:
shellcode2的格式与暗云木马完全一致,均为获取RtlDecompressBuffer函数地址,并调用加压其后数据,得到新的shellcode3并调用。

图13. shellcode头部反汇编代码

图14. shellcode2代码,解压shellcode3
shellcode3行为:
shellcode3的功能是加载其后的内存PE1文件。

图15. shellcode3代码,加载其后的PE
PE文件分析:
PE文件会对各种条件做判断,如果符合条件才会下载暗云Ⅲ感染程序到本地安装执行。这些条件包括:

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载