原程序是用 NSIS 制作的安装文件,其作用就是同时解压里面的两个文件并执行。解包后有两个文件:llk.exe(Microsoft Visual C++ 7.0,是个连连看的游戏,正常程序),setup5891.exe(FSG 2.0 的壳)。看 setup5891.exe。
脱壳后的文件里面的 DATA 段包含了一个 DLL,可以直接用16进制工具复制出来。从偏移 0x40A0 处选择大小为 0x3B800 的数据,另存为 Clinet001.dll(这个就是复制到系统目录下的 SysAdsnwt.dll)。IDA 静态分析一下脱壳后的文件,可获取以下信息:
首先获取系统目录,如 C:\WINDOWS\system32,复制一个名为 SysAdsnwt.dll 的文件过去。然后在注册表中添加服务:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Parameters 中添加 ServiceDll 项。
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\BITS\Parameters 中添加 ServiceDll 项。
现在看那个 Clinet001.dll。这个 DLL 就是马的主体了。其检测360,从 http://xubaobot.3322.org/ 下载文件到 C:\WINDOWS\ 并执行,应该是专门用来下载病毒的。解码了里面的几个 URL:
http://xubaobot.3322.org/ifexits.php?ihardcode=00-50-56-C0-00-01
http://xubaobot.3322.org/xtime.php?ihardcode=00-50-56-C0-00-01
http://xubaobot.3322.org/msd.php
http://xubaobot.3322.org/update.php?ihardcode=00-50-56-C0-00-01
可惜都不能访问。
至于修改 IE 主页,没看到相关代码,应该是你运行其他程序出的问题。
附件包含木马原样本、脱壳后的文件、从里面抽出来的 Clinet001.dll 及简单的分析。
解压密码:
muma