这个木马程序频繁使用了同一种简单的字符串保护方式,因此先写一个IDA script小函数用于解密字符串
static pt08decryption(offset, key)
{
auto value;
do
{
value = Byte(offset);
if (value != 0)
value = value ^ key;
PatchByte(offset, value);
offset++;
}
while((Byte(offset) != 0) || (Byte(offset+1) != 0));
}
木马安装主程序流程非常简单
1。尝试终止以下所有进程
●
[*]my.exe
[*]Client.exe
[*]woool.dat
[*]woool88.dat
[*]xy2.exe
[*]game.exe
[*]SO2Game.exe
[*]SO2GameFree.exe
[*]FSOnline2.exe
[*]gameclient.exe
[*]elementclient.exe
[*]asktao.mod
[*]Wow.exe
[*]ZeroOnline.exe
[*]Bo.exe
[*]Conquer.exe
[*]soul.exe
[*]TheWarlords.exe
[*]china_login.mpr
[*]blueskyclient_r.exe
[*]xy3.exe
[*]QQLogin.exe
[*]DNF.exe
[*]gc12.exe
[*]hugemanclient.exe
[*]HX2Game.exe
[*]QQhxgame.exe
[*]tw2.exe
[*]QQSG.exe
[*]QQFFO.exe
[*]zhengtu.dat
[*]mir1.dat
[*]mir2.dat
[*]tty3d.exe
[*]metin2.bin
[*]AClient.exe
[*]gamefree.exe
2。向AskTao窗口发65536条从0开始的逐次递增1的消息
3。修改360safe注册表键
HKEY_LOCAL_MACHINE\Software\360Safe\safemon\
以下值为0
●
[*]ARPAccess
[*]ExecAccess
[*]IEProtAccess
[*]LeakShowed
[*]MonAccess
[*]NoNotiLeak
[*]NoNotiNews
[*]SiteAccess
[*]UDiskAccess
[*]weeken
4. 尝试打开木马驱动"\\.\slHBKernel32",如果成功则直接跳入第5步,否则
4.1 从资源内释放出驱动文件并存入系统目录下drivers\HBKernel32.sys
4.2 尝试打开及创建服务,如果成功则启动木马驱动服务
5。从资源内释放出木马盗号动态库模块并存入系统目录下HBQQXX.dll
5.1 如果失败的话则暂时屏蔽木马文件保护并将该模块放入临时目录,并在重启后覆盖旧的木马动态库,随后恢复木马文件保护
6。查找HBInject32窗口并发送WM_COPYDATA消息
7。创建Mutex对象"HBInjectMutex"确定没有多个木马进程在运行
8。从资源内释放出木马监视主程序System.exe并存入系统目录下,然后启动之
9。创建注册表键值重启后自动运行System.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"HBService32" = "System.exe"
10。创建临时批处理用来删除自身木马安装程序并退出运行
木马监视主程序System.exe的功能和执行流程和上述安装程序有一些类似,额外部分包括如下几点:
1。删除360safe的两个自启动注册表键值
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"360Safebox"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"360Safetray"
2。使用木马驱动程序保护自己的进程,System.exe对用户可见但不可查询或终止
3。设置一个0.1秒的timer,不断重置木马使用到的注册表键值
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"HBService32"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\"AppInit_DLLs"
4。当收到WM_COPYDATA消息时,加载如下动态库并重新创建全局鼠标钩子
●
[*]HBmhly.dll
[*]HB1000Y.dll
[*]HBWOOOL.dll
[*]HBXY2.dll
[*]HBJXSJ.dll
[*]HBSO2.dll
[*]HBFS2.dll
[*]HBXY3.dll
[*]HBSHQ.dll
[*]HBFY.dll
[*]HBWULIN2.dll
[*]HBW2I.dll
[*]HBKDXY.dll
[*]HBWORLD2.dll
[*]HBASKTAO.dll
[*]HBZHUXIAN.dll
[*]HBWOW.dll
[*]HBZERO.dll
[*]HBBO.dll
[*]HBCONQUER.dll
[*]HBSOUL.dll
[*]HBCHIBI.dll
[*]HBDNF.dll
[*]HBWARLORDS.dll
[*]HBTL.dll
[*]HBPICKCHINA.dll
[*]HBCT.dll
[*]HBGC.dll
[*]HBHM.dll
[*]HBHX2.dll
[*]HBQQHX.dll
[*]HBTW2.dll
[*]HBQQSG.dll
[*]HBQQFFO.dll
[*]HBZT.dll
[*]HBMIR2.dll
[*]HBRXJH.dll
[*]HBYY.dll
[*]HBMXD.dll
[*]HBSQ.dll
[*]HBTJ.dll
[*]HBFHZL.dll
[*]HBWLQX.dll
[*]HBLYFX.dll
[*]HBR2.dll
[*]HBCHD.dll
[*]HBTZ.dll
[*]HBQQXX.dll
[*]HBWD.dll
[*]HBZG.dll
[*]HBPPBL.dll
[*]HBXMJ.dll
[*]HBJTLQ.dll
[*]HBQJSJ.dll木马盗号动态库模块HBQQXX.dll主要功能是从进程QQLogin.exe和tty3d.exe中盗取密码
如果成功盗取密码将保存入系统目录下的Xunxian.dat文件中
木马驱动程序通过截取api达到如下功能:
●
[*]保护指定进程
[*]保护木马相关的文件
[*]保护"AppInit_DLLs"注册表键值
[*]无限循环重新设置木马驱动服务注册表键,以及另两个木马自启动注册表键值
复制用多了,汗一个
