[原创]hook007木马分析-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]hook007木马分析

发表于: 2015-9-20 18:44 17114

[原创]hook007木马分析

安静的小酒吧

2015-9-20 18:44

17114

报告名称：  hook007木马分析
  作者：安静的小酒吧
  报告更新日期：  2015-9-29
  样本发现日期：  2015-9-20
  样本类型： .lnk  .bat  .dll
  样本文件大小／被感染文件变化长度： nvwsrds.dll 36KB  ;temp 133KB
  样本文件MD5 校验值：  dll:22248627F964FE6CD6A137C9FBB12A58
                              temp:7C0FE5CA914753BB93351508836A266F
  样本文件SHA1 校验值： dll:0EBE9036BD96BC39AB5F20468BC0C62CDC1BDC1D
                              temp: 0A749DABF30E729D26C0D81772F6C7C5936DD519
  壳信息：    无
  可能受到威胁的系统：
  相关漏洞：                无
  已知检测名称：
hook007系列样本已近有很多分析了，这是我找其中一个变种的分析。分析过程主要是OD动态调试为主。
360安全博客对这个系列的样本描述如下：
这个样本已经有5年历史，饱经360的查杀，却依旧在不断的更新。采取各种免杀手段去避开360安全卫士的查杀，该样本对用户的诱惑性也特别的强，该样本主要利用了用户的安全意识薄弱，诱导用户点击一些看似不会造成危害的快捷方式，在用户点击后，同时也会出现用户预期的效果，以蒙蔽用户。
——————————下面开始进入主题——————————

0x00 样本本身是“价格图.zip”,解压后看到一个快捷方式，和三个隐藏文件（分析样本源码，发现至少应该是四个，可能是我得到的样本不够完整吧，那个bbs.bmp是我自己加上的，后面要用到）

0x01 快捷方式本身指向当前目录的png.bat文件

bat文件开头是unicode格式的直接打开看乱码

从bat可以看出要调用系统的rundll32.exe来调用nvwsrds.dll的avmode函数，后面跟了参数，事实上这个参数是没用用的。

0x02 用OD加载这个dll，先看看dllmain函数，里面没有异常的操作，所以直接调用avmode函数，进去可以看到很多没有意义的汇编指令，应该是用来免杀的，这样的指令在后面还会有很多次出现，遇到之后直接跳过就好。

0x03 判断自身是否已经驻扎到系统里面。
样本先获取自身文件路径，然后使用strstr函数查找nvwing.dll，字符串，如果找到则说明已经在系统里面，否则没有。（这样判断的原因是如果不在系统里面，会将nvwsrds.dll拷贝到另一个目录下并且命名为nvwing.dll，以后都从这里启动）

0x04 在C:\Documents and Settings\Administrator\Application Data目录下创建avmode目录，并将自身复制到该目录下，命名为nvwing.dll（与上一步的判断结合可知上一步是在判断自身是否已经驻扎到系统里面）,同时将temp文件复制过去。

0x05 加载shimgvm.dll打开bbs.bmp文件（迷惑用户）从这里可以得知我们得到的样本是不完整的.

从复制后的目录加载nvwing.dll,调用avmode函数,这时样本已经驻扎到系统里面了。

0x06 再次加载后dll做了与前面相同的处理，这里不再赘述。接下来进行了虚拟机检测，检测方式主要是交替使用sldt,sgdt,in三种指令，具体原理看这里：http://blog.csdn.net/whatday/article/details/10393325

0x07 读取temp文件并解密

解密后是一个PE文件

分析加密算法后我自己解密这个PE文件，最后看到是一个dll，但是直接用OD加载出错，原因没有深究。然后原dll模仿PE文件加载，然后转入解密后的dll领空

0x08 写自启动配置文件

0x09 创建互斥体

0x0a 启动了两个线程一个负责网络连接，另一个负责检查杀软，写注册表等

0x0b 该样本有两种上线方式
第一，直接连接IP14.122.155.110

第二，通过连接www.360.cn来判断网络是否连通，然后通过腾讯微博获得另一个IP地址

0x0c 枚举进程查找杀软进程

由于和控制端无法连接，所以动态调试分析到这基本算完了。
样本不算复杂，但是启动的迷惑性较大，大多出现在游戏装备图什么的，大家日后多加注意就好了。
我已带好安全帽，欢迎拍砖，有问题的地方希望不留情面的支出，大家共同进步。

样本在这里：价格图.zip

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

image3.png （14.20kb，5次下载）
image4.png （4.60kb，4次下载）
image6.png （2.70kb，4次下载）
image7.png （23.46kb，4次下载）
image8.png （9.49kb，2次下载）
image12.png （8.97kb，3次下载）
image13.png （10.16kb，4次下载）
image14.png （8.77kb，3次下载）
image15.png （13.82kb，14次下载）
image16.png （10.76kb，5次下载）
image17.png （9.35kb，1次下载）
image18.png （5.87kb，5次下载）
image19.png （3.65kb，1次下载）
image20.png （7.62kb，2次下载）
image21.png （249.00kb，7次下载）
1.png （8.91kb，3次下载）
2.png （8.54kb，3次下载）
3.png （15.65kb，10次下载）
image10.png （19.02kb，8次下载）
价格图.zip （73.58kb，154次下载）

收藏・11

免费・3

支持

最新回复 (27) 1 2 ▶
人在塔在雪币： 144 活跃值： (335) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 391 粉丝 3 关注私信	人在塔在 2 楼有个叫给力的** 专门卖这个马一般都是给做游戏的或者淘宝的从13年才是rundll32这种模式的吧，还会释放Inf文件安装启动项，以前是白加黑的代码完全抄的别人的，作者就在次论坛 2015-9-20 19:07 0
影子不寂寞雪币： 6 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 349 粉丝 1 关注私信	影子不寂寞 3 楼学习一下。 2015-9-20 19:15 0
dalerkd 雪币： 118 活跃值： (72) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 527 粉丝 3 关注私信	dalerkd 1 4 楼请问枚举进程查找杀软进程后 ,用哪种干杀软的? 2015-9-20 20:32 0
安静的小酒吧雪币： 62 活跃值： (41) 能力值： ( LV5，RANK：60 ) 在线值：发帖 3 回帖 20 粉丝 0 关注私信	安静的小酒吧 1 5 楼嗯嗯，hook007以前就是白加黑的，经常利用暴风迅雷什么的，现在大都是快捷方式+bat+rundll32 2015-9-20 20:56 0
安静的小酒吧雪币： 62 活跃值： (41) 能力值： ( LV5，RANK：60 ) 在线值：发帖 3 回帖 20 粉丝 0 关注私信	安静的小酒吧 1 6 楼其实我也纳闷，他枚举之后要干什么，代码中没看出来要干什么，枚举不管有没有杀软都没有后续操作。具体你可以看一下360对其中另一个变种的分析http://blogs.360.cn/360safe/2014/09/12/hook007_trojan/，他认为：结合字符串看，木马应该是试图结束杀软进程，保护木马自身，但是在实际感染过程中，木马并没有执行这个动作，目的是为了避免触发主防策略。这个可能是木马生成器中的可选功能，或者是作者历史上遗留的代码，但是后来没有用到相关逻辑，但是代码仍然在样本中。 2015-9-20 21:31 0
Popluna 雪币： 8 活跃值： (33) 能力值： ( LV3，RANK：20 ) 在线值：发帖 31 回帖 99 粉丝 1 关注私信	Popluna 7 楼把系统中安装的安全软件类型传递给控制端··· 2015-9-21 06:40 0
地狱怪客雪币： 341 活跃值： (143) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1125 粉丝 10 关注私信	地狱怪客 2 8 楼康小泡... 2015-10-29 15:11 0
fzman 雪币： 47 活跃值： (62) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 85 粉丝 0 关注私信	fzman 9 楼大婶,请收下我的膝盖 2015-10-29 15:45 0
dalerkd 雪币： 118 活跃值： (72) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 527 粉丝 3 关注私信	dalerkd 1 10 楼 mark一下。。。 2015-10-29 21:33 0
小陈ccy 雪币： 9 活跃值： (78) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 39 粉丝 0 关注私信	小陈ccy 11 楼顶一下！！！ 2015-10-31 10:50 0
龙飞雪雪币： 562 活跃值： (4347) 能力值： ( LV3，RANK：30 ) 在线值：发帖 1 回帖 206 粉丝 3 关注私信	龙飞雪 12 楼康小跑，哈哈 2015-11-4 20:50 0
hksoobe 雪币： 245 活跃值： (294) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 75 粉丝 7 关注私信	hksoobe 13 楼不错学习了！！！ 2015-11-4 21:06 0
马特达蒙雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 36 粉丝 0 关注私信	马特达蒙 14 楼非常典型的白加黑远控木马。 2015-11-10 10:48 0
KuNgBiM 雪币： 817 活跃值： (1927) 能力值： ( LV12，RANK：2670 ) 在线值：发帖 500 回帖 2517 粉丝 22 关注私信	KuNgBiM 66 15 楼康小泡? http://www.52pojie.cn/thread-408538-1-1.html 2015-11-10 10:54 0
lxsgbin 雪币： 1651 活跃值： (1425) 能力值： ( LV6，RANK：80 ) 在线值：发帖 39 回帖 147 粉丝 45 关注私信	lxsgbin 1 16 楼 rundll.exe 也能过主动防御？？？ 2015-11-28 16:01 0
痞子狗雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	痞子狗 17 楼 rundll 这么脆弱？ 2016-5-30 17:37 0
我是谁！雪币： 115 活跃值： (23) 能力值： (RANK：20 ) 在线值：发帖 45 回帖 420 粉丝 1 关注私信	我是谁！ 18 楼兄弟最近在干吗 2016-10-2 15:12 0
我是谁！雪币： 115 活跃值： (23) 能力值： (RANK：20 ) 在线值：发帖 45 回帖 420 粉丝 1 关注私信	我是谁！ 19 楼我没分析道DLL解密temp的过程，求一份详细的分析资料！或者视频 2016-10-10 17:08 0
赤脚窃贼雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	赤脚窃贼 20 楼我只是想问一个问题，通过逆向分析，可以复现木马的源代码么？ 2016-10-12 14:53 0
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2433 粉丝 1 关注私信	petersonhz 21 楼 hook007论坛没搜到 2016-11-19 17:10 0
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2433 粉丝 1 关注私信	petersonhz 22 楼应该是裸奔机子 2016-11-19 17:11 0
我是谁！雪币： 115 活跃值： (23) 能力值： (RANK：20 ) 在线值：发帖 45 回帖 420 粉丝 1 关注私信	我是谁！ 23 楼源码呢？？ 2016-11-22 14:32 0
jiamianfan 雪币： 286 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 8 粉丝 0 关注私信	jiamianfan 24 楼七年没上看雪了。安全越来越被重视了 2016-11-22 14:41 0
我是谁！雪币： 115 活跃值： (23) 能力值： (RANK：20 ) 在线值：发帖 45 回帖 420 粉丝 1 关注私信	我是谁！ 25 楼杭州的lx兄弟，最近在干嘛啊。。。 2016-11-27 10:28 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

安静的小酒吧

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (27) 1 2 ▶
人在塔在雪币： 144 活跃值： (335) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 391 粉丝 3 关注私信	人在塔在 2 楼有个叫给力的** 专门卖这个马一般都是给做游戏的或者淘宝的从13年才是rundll32这种模式的吧，还会释放Inf文件安装启动项，以前是白加黑的代码完全抄的别人的，作者就在次论坛 2015-9-20 19:07 0
影子不寂寞雪币： 6 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 349 粉丝 1 关注私信	影子不寂寞 3 楼学习一下。 2015-9-20 19:15 0
dalerkd 雪币： 118 活跃值： (72) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 527 粉丝 3 关注私信	dalerkd 1 4 楼请问枚举进程查找杀软进程后 ,用哪种干杀软的? 2015-9-20 20:32 0
安静的小酒吧雪币： 62 活跃值： (41) 能力值： ( LV5，RANK：60 ) 在线值：发帖 3 回帖 20 粉丝 0 关注私信	安静的小酒吧 1 5 楼嗯嗯，hook007以前就是白加黑的，经常利用暴风迅雷什么的，现在大都是快捷方式+bat+rundll32 2015-9-20 20:56 0
安静的小酒吧雪币： 62 活跃值： (41) 能力值： ( LV5，RANK：60 ) 在线值：发帖 3 回帖 20 粉丝 0 关注私信	安静的小酒吧 1 6 楼其实我也纳闷，他枚举之后要干什么，代码中没看出来要干什么，枚举不管有没有杀软都没有后续操作。具体你可以看一下360对其中另一个变种的分析http://blogs.360.cn/360safe/2014/09/12/hook007_trojan/，他认为：结合字符串看，木马应该是试图结束杀软进程，保护木马自身，但是在实际感染过程中，木马并没有执行这个动作，目的是为了避免触发主防策略。这个可能是木马生成器中的可选功能，或者是作者历史上遗留的代码，但是后来没有用到相关逻辑，但是代码仍然在样本中。 2015-9-20 21:31 0
Popluna 雪币： 8 活跃值： (33) 能力值： ( LV3，RANK：20 ) 在线值：发帖 31 回帖 99 粉丝 1 关注私信	Popluna 7 楼把系统中安装的安全软件类型传递给控制端··· 2015-9-21 06:40 0
地狱怪客雪币： 341 活跃值： (143) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1125 粉丝 10 关注私信	地狱怪客 2 8 楼康小泡... 2015-10-29 15:11 0
fzman 雪币： 47 活跃值： (62) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 85 粉丝 0 关注私信	fzman 9 楼大婶,请收下我的膝盖 2015-10-29 15:45 0
dalerkd 雪币： 118 活跃值： (72) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 527 粉丝 3 关注私信	dalerkd 1 10 楼 mark一下。。。 2015-10-29 21:33 0
小陈ccy 雪币： 9 活跃值： (78) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 39 粉丝 0 关注私信	小陈ccy 11 楼顶一下！！！ 2015-10-31 10:50 0
龙飞雪雪币： 562 活跃值： (4347) 能力值： ( LV3，RANK：30 ) 在线值：发帖 1 回帖 206 粉丝 3 关注私信	龙飞雪 12 楼康小跑，哈哈 2015-11-4 20:50 0
hksoobe 雪币： 245 活跃值： (294) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 75 粉丝 7 关注私信	hksoobe 13 楼不错学习了！！！ 2015-11-4 21:06 0
马特达蒙雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 36 粉丝 0 关注私信	马特达蒙 14 楼非常典型的白加黑远控木马。 2015-11-10 10:48 0
KuNgBiM 雪币： 817 活跃值： (1927) 能力值： ( LV12，RANK：2670 ) 在线值：发帖 500 回帖 2517 粉丝 22 关注私信	KuNgBiM 66 15 楼康小泡? http://www.52pojie.cn/thread-408538-1-1.html 2015-11-10 10:54 0
lxsgbin 雪币： 1651 活跃值： (1425) 能力值： ( LV6，RANK：80 ) 在线值：发帖 39 回帖 147 粉丝 45 关注私信	lxsgbin 1 16 楼 rundll.exe 也能过主动防御？？？ 2015-11-28 16:01 0
痞子狗雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	痞子狗 17 楼 rundll 这么脆弱？ 2016-5-30 17:37 0
我是谁！雪币： 115 活跃值： (23) 能力值： (RANK：20 ) 在线值：发帖 45 回帖 420 粉丝 1 关注私信	我是谁！ 18 楼兄弟最近在干吗 2016-10-2 15:12 0
我是谁！雪币： 115 活跃值： (23) 能力值： (RANK：20 ) 在线值：发帖 45 回帖 420 粉丝 1 关注私信	我是谁！ 19 楼我没分析道DLL解密temp的过程，求一份详细的分析资料！或者视频 2016-10-10 17:08 0
赤脚窃贼雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	赤脚窃贼 20 楼我只是想问一个问题，通过逆向分析，可以复现木马的源代码么？ 2016-10-12 14:53 0
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2433 粉丝 1 关注私信	petersonhz 21 楼 hook007论坛没搜到 2016-11-19 17:10 0
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2433 粉丝 1 关注私信	petersonhz 22 楼应该是裸奔机子 2016-11-19 17:11 0
我是谁！雪币： 115 活跃值： (23) 能力值： (RANK：20 ) 在线值：发帖 45 回帖 420 粉丝 1 关注私信	我是谁！ 23 楼源码呢？？ 2016-11-22 14:32 0
jiamianfan 雪币： 286 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 8 粉丝 0 关注私信	jiamianfan 24 楼七年没上看雪了。安全越来越被重视了 2016-11-22 14:41 0
我是谁！雪币： 115 活跃值： (23) 能力值： (RANK：20 ) 在线值：发帖 45 回帖 420 粉丝 1 关注私信	我是谁！ 25 楼杭州的lx兄弟，最近在干嘛啊。。。 2016-11-27 10:28 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复