[原创]一个典型的游戏盗号木马逆向分析(有样本)-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]一个典型的游戏盗号木马逆向分析(有样本)

发表于: 2013-4-25 16:00 17134

[原创]一个典型的游戏盗号木马逆向分析(有样本)

Tensm

2013-4-25 16:00

17134

兵法有云:知已知彼,百战不殆。攻克敌人从了解敌人开始。
小弟新作，一个老病毒，练手用，大鸟勿喷！IDB，样本，文档随后附上。　　
------------------------------------------------------------
病毒大小23KB左右，为游戏盗号木马，采用UPX加壳，开机自启动。运行期间监视游戏帐号和密码等信息的输入，发送到指定的URL，导致游戏帐号和密码的泄露。

一、感染环境
　　Windows xp，windows 7能感染(其它环境没有测试)
二、感染特征
1、文件行为：

hKey = HKEY_CLASSES_ROOT
Subkey = "CLsID\{91C7DF6D-AEF5-4136-9252-AF030D7A5931}\InprocServer32"
Valve data =”91C7DF6D.dll”

hKey = HKEY_CLASSES_ROOT
Subkey = "CLsID\{91C7DF6D-AEF5-4136-9252-AF030D7A5931}\InprocServer32"
Valve Name=”ThreadingModel”

Valve date=”Apartment”
hKey = HKEY_LOCAL_MACHINE
Subkey = "Software\microsoft\windows\currentversion\Explorer\shellexecutehooks"
Valve Name=”{91C7DF6D-AEF5-4136-9252-AF030D7A5931}”

hKey = HKEY_LOCAL_MACHINE
Subkey =“Software\microsoft\windows\currentversion\Explorer\shellexecutehooks”
Value name=”{91C7DF6D-AEF5-4136-9252-AF030D7A5931}”

hKey = HKEY_CLASSES_ROOT
Subkey = "CLsID\{91C7DF6D-AEF5-4136-9252-AF030D7A5931}\InprocServer32"
Value date=”91C7DF6D.dll”

hKey = HKEY_CLASSES_ROOT
Subkey = "CLsID\{91C7DF6D-AEF5-4136-9252-AF030D7A5931}\InprocServer32"
Value name=”ThreadingModel”
Value date=”Apartment”

hKey = HKEY_LOCAL_MACHINE
Subkey =“Software\microsoft\windows\currentversion\Explorer\shellexecutehooks”
Value name=”{91C7DF6D-AEF5-4136-9252-AF030D7A5931}”

hKey = HKEY_CLASSES_ROOT
Subkey = "CLsID\{91C7DF6D-AEF5-4136-9252-AF030D7A5931}\InprocServer32"
Value date=”91C7DF6D.dll”

hKey = HKEY_CLASSES_ROOT
Subkey = "CLsID\{91C7DF6D-AEF5-4136-9252-AF030D7A5931}\InprocServer32"
Value name=”ThreadingModel”
Value date=”Apartment”

附件：
附件.zip

访问URL：http://www.y0uku1.com/cia/bike.asp

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

#调试逆向

上传的附件：

2.png （5.92kb，4次下载）
3.png （1.87kb，4次下载）
4.png （4.61kb，1次下载）
5.png （6.04kb，2次下载）
6.png （4.29kb，1次下载）
7.png （5.44kb，1次下载）
8.png （5.87kb，1次下载）
9.png （15.63kb，1次下载）
10.png （13.17kb，1次下载）
11.png （7.06kb，1次下载）
12.png （2.73kb，1次下载）
13.png （4.04kb，1次下载）
14.png （5.86kb，4次下载）
15.png （7.41kb，1次下载）
16.png （12.15kb，1次下载）
17.png （6.88kb，1次下载）
18.png （16.84kb，1次下载）
1.png （95.14kb，2次下载）
附件.zip （579.84kb，269次下载）

收藏・38

免费・6

支持

最新回复 (29) 1 2 ▶
小龙飞雪币： 255 活跃值： (207) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 41 粉丝 0 关注私信	小龙飞 2 楼 mark一下。以后学习 2013-4-25 16:11 0
七杨雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	七杨 3 楼不错，学习一下 2013-4-25 16:18 0
Fido 雪币： 107 活跃值： (404) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 1019 粉丝 1 关注私信	Fido 4 楼不错.很详细......... 2013-4-25 16:18 0
hkzlq 雪币： 37 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 50 粉丝 0 关注私信	hkzlq 5 楼谢楼主分享，学习了 2013-4-25 16:19 0
fesfes 雪币： 115 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 135 粉丝 0 关注私信	fesfes 6 楼很详细哈 ........ 2013-4-25 16:27 0
futosky 雪币： 862 活跃值： (329) 能力值： ( LV9，RANK：165 ) 在线值：发帖 23 回帖 171 粉丝 1 关注私信	futosky 3 7 楼 terminateprocess能杀360？ 2013-4-25 18:30 0
笨奔雪币： 415 活跃值： (34) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 748 粉丝 1 关注私信	笨奔 1 8 楼这个真是老套路，没啥技术含量。 2013-4-25 19:12 0
金罡雪币： 1489 活跃值： (1058) 能力值： ( LV8，RANK：130 ) 在线值：发帖 13 回帖 367 粉丝 108 关注私信	金罡 2 9 楼不错，有流程图很直观。 2013-4-25 19:16 0
juncheng 雪币： 783 活跃值： (586) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 81 粉丝 0 关注私信	juncheng 10 楼进来学习一下。。。。。 2013-4-25 19:20 0
怕天亮雪币： 645 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 37 回帖 259 粉丝 0 关注私信	怕天亮 11 楼强烈顶起好文章通俗易懂小菜受教了 2013-4-25 20:13 0
litintin 雪币： 547 活跃值： (34) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 90 粉丝 0 关注私信	litintin 12 楼现在应该不能结束杀软了吧，应该是老东西了 2013-4-25 20:27 0
荒野无灯雪币： 406 活跃值： (164) 能力值： ( LV12，RANK：250 ) 在线值：发帖 33 回帖 262 粉丝 4 关注私信	荒野无灯 5 13 楼分析得很详细 2013-4-27 01:04 0
Hefe 雪币： 508 活跃值： (89) 能力值： ( LV8，RANK：130 ) 在线值：发帖 22 回帖 138 粉丝 4 关注私信	Hefe 3 14 楼 nice job 2013-4-27 09:23 0
小菜鸟一雪币： 1144 活跃值： (4222) 能力值： ( LV5，RANK：69 ) 在线值：发帖 6 回帖 903 粉丝 4 关注私信	小菜鸟一 15 楼强贴留名 12345 2013-4-27 10:51 0
ddzhanglei 雪币： 29 活跃值： (40) 能力值： ( LV3，RANK：30 ) 在线值：发帖 26 回帖 72 粉丝 0 关注私信	ddzhanglei 16 楼以后学习 mark一下 2013-4-27 11:03 0
xtayaitak 雪币： 106 活跃值： (574) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 216 粉丝 0 关注私信	xtayaitak 17 楼好文，图文并貌 2013-5-1 00:53 0
学者learner 雪币： 141 活跃值： (318) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 172 粉丝 0 关注私信	学者learner 18 楼可以看下，可以参考下，做个变种。 2013-5-1 17:24 0
lovesjsjsj 雪币： 112 活跃值： (56) 能力值： ( LV7，RANK：100 ) 在线值：发帖 5 回帖 76 粉丝 0 关注私信	lovesjsjsj 2 19 楼赞，学习学习 2013-5-1 18:18 0
lgwinner 雪币： 104 活跃值： (26) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 54 粉丝 0 关注私信	lgwinner 20 楼学习！感谢分享 2013-5-2 10:36 0
fzhaoqiang 雪币： 7 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 124 回帖 373 粉丝 1 关注私信	fzhaoqiang 21 楼好奇的是干掉杀软的那一部分！ 2013-5-2 16:06 0
Pan88168 雪币： 463 活跃值： (116) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 1103 粉丝 8 关注私信	Pan88168 22 楼 AF9C0104867ED2841389167E775B8332 = game.exe 2013-5-2 16:06 0
kuppa 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	kuppa 23 楼很不错，受教了 2013-5-2 18:35 0
Tensm 雪币： 111 活跃值： (113) 能力值： ( LV5，RANK：70 ) 在线值：发帖 12 回帖 135 粉丝 3 关注私信	Tensm 1 24 楼谢谢。。。。。 2013-5-2 19:23 0
tzl 雪币： 242 活跃值： (1664) 能力值： ( LV9，RANK：410 ) 在线值：发帖 21 回帖 532 粉丝 0 关注私信	tzl 10 25 楼流程图很直观。学习中 2013-5-3 09:10 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Tensm

发帖

135

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (29) 1 2 ▶
小龙飞雪币： 255 活跃值： (207) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 41 粉丝 0 关注私信	小龙飞 2 楼 mark一下。以后学习 2013-4-25 16:11 0
七杨雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	七杨 3 楼不错，学习一下 2013-4-25 16:18 0
Fido 雪币： 107 活跃值： (404) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 1019 粉丝 1 关注私信	Fido 4 楼不错.很详细......... 2013-4-25 16:18 0
hkzlq 雪币： 37 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 50 粉丝 0 关注私信	hkzlq 5 楼谢楼主分享，学习了 2013-4-25 16:19 0
fesfes 雪币： 115 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 135 粉丝 0 关注私信	fesfes 6 楼很详细哈 ........ 2013-4-25 16:27 0
futosky 雪币： 862 活跃值： (329) 能力值： ( LV9，RANK：165 ) 在线值：发帖 23 回帖 171 粉丝 1 关注私信	futosky 3 7 楼 terminateprocess能杀360？ 2013-4-25 18:30 0
笨奔雪币： 415 活跃值： (34) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 748 粉丝 1 关注私信	笨奔 1 8 楼这个真是老套路，没啥技术含量。 2013-4-25 19:12 0
金罡雪币： 1489 活跃值： (1058) 能力值： ( LV8，RANK：130 ) 在线值：发帖 13 回帖 367 粉丝 108 关注私信	金罡 2 9 楼不错，有流程图很直观。 2013-4-25 19:16 0
juncheng 雪币： 783 活跃值： (586) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 81 粉丝 0 关注私信	juncheng 10 楼进来学习一下。。。。。 2013-4-25 19:20 0
怕天亮雪币： 645 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 37 回帖 259 粉丝 0 关注私信	怕天亮 11 楼强烈顶起好文章通俗易懂小菜受教了 2013-4-25 20:13 0
litintin 雪币： 547 活跃值： (34) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 90 粉丝 0 关注私信	litintin 12 楼现在应该不能结束杀软了吧，应该是老东西了 2013-4-25 20:27 0
荒野无灯雪币： 406 活跃值： (164) 能力值： ( LV12，RANK：250 ) 在线值：发帖 33 回帖 262 粉丝 4 关注私信	荒野无灯 5 13 楼分析得很详细 2013-4-27 01:04 0
Hefe 雪币： 508 活跃值： (89) 能力值： ( LV8，RANK：130 ) 在线值：发帖 22 回帖 138 粉丝 4 关注私信	Hefe 3 14 楼 nice job 2013-4-27 09:23 0
小菜鸟一雪币： 1144 活跃值： (4222) 能力值： ( LV5，RANK：69 ) 在线值：发帖 6 回帖 903 粉丝 4 关注私信	小菜鸟一 15 楼强贴留名 12345 2013-4-27 10:51 0
ddzhanglei 雪币： 29 活跃值： (40) 能力值： ( LV3，RANK：30 ) 在线值：发帖 26 回帖 72 粉丝 0 关注私信	ddzhanglei 16 楼以后学习 mark一下 2013-4-27 11:03 0
xtayaitak 雪币： 106 活跃值： (574) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 216 粉丝 0 关注私信	xtayaitak 17 楼好文，图文并貌 2013-5-1 00:53 0
学者learner 雪币： 141 活跃值： (318) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 172 粉丝 0 关注私信	学者learner 18 楼可以看下，可以参考下，做个变种。 2013-5-1 17:24 0
lovesjsjsj 雪币： 112 活跃值： (56) 能力值： ( LV7，RANK：100 ) 在线值：发帖 5 回帖 76 粉丝 0 关注私信	lovesjsjsj 2 19 楼赞，学习学习 2013-5-1 18:18 0
lgwinner 雪币： 104 活跃值： (26) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 54 粉丝 0 关注私信	lgwinner 20 楼学习！感谢分享 2013-5-2 10:36 0
fzhaoqiang 雪币： 7 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 124 回帖 373 粉丝 1 关注私信	fzhaoqiang 21 楼好奇的是干掉杀软的那一部分！ 2013-5-2 16:06 0
Pan88168 雪币： 463 活跃值： (116) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 1103 粉丝 8 关注私信	Pan88168 22 楼 AF9C0104867ED2841389167E775B8332 = game.exe 2013-5-2 16:06 0
kuppa 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	kuppa 23 楼很不错，受教了 2013-5-2 18:35 0
Tensm 雪币： 111 活跃值： (113) 能力值： ( LV5，RANK：70 ) 在线值：发帖 12 回帖 135 粉丝 3 关注私信	Tensm 1 24 楼谢谢。。。。。 2013-5-2 19:23 0
tzl 雪币： 242 活跃值： (1664) 能力值： ( LV9，RANK：410 ) 在线值：发帖 21 回帖 532 粉丝 0 关注私信	tzl 10 25 楼流程图很直观。学习中 2013-5-3 09:10 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复