Redian新闻
>
这个假微信软件有点套路!

这个假微信软件有点套路!

公众号新闻
背景


前几天,在某社群中看到有用户往社群共享盘中上传一个名称为协议微信加好友的应用软件,并且在社群中宣称以无限加好友和不需要通过对方确认就可以直接加好友


这种软件名称和宣传,从个人角度来看,应该就是个属于用钓鱼或远控的恶意软件。


出于好奇心就下载了这个软件,并对这个软件进行了功能分析,也就有了这篇文章。


 

基础分析

 

(切记:对未知来源和未知风险的软件不可直接在真机环境分析,上虚拟机!)



拿到样本后先通过杀毒软件直接查杀下,先对软件进行辨别下,一些病毒样本是杀毒软件已能查杀识别出的不安全的风险软件。



Trojan/GameHack.ct:把它归类为木马病毒,这类病毒一般是通过网络或系统漏洞进入到系统并进行隐藏,破坏系统或正常软件的安全性,向外泄露用户的隐私信息。


通过下图 ExeInfo Pe 可以很直观看到,该样本不是一个正常的 PE 结构,因为这个 PE 工具第一个区段竟然是 .data(数据区段),正常情况下第一个区段是 .text(代码区段)。结合后面的分析,这个样本是正常的 PE 文件,只不过是将 .text 区段修改成为 daima 区段。



通过 CFF Explorer 工具分析 该样本中的 PE 结构和该样本的依赖模块,发现该样本就是一个正常的 PE 文件,这个样本也并没有依赖样本作者自己实现或者第三方的 dll 模块,都是依赖系统模块进行实现的。



通过 Resource Hacker 资源分析工具 分析了该样本新增了一个自定义的 AAAA 资源数据,正常情况下新增的资源数据都是用于存放要释放的 exe 应用程序或者 dll 模块。



 

功能分析


通过前面的基本数据的分析,对样本有了大概的了解,接下来就结合 IDA 工具和 ollydbg 工具分析下该样本的实际功能。


结合样本的分析,这个微信协议加好友,仅仅是一个通过伪造成为微信图标的加载器,真正的木马病毒功能在于从样本中释放出来的应用程序。


下面就进行详细的功能分析。




通过上图的 IDA 中伪代码分析 这个样本的 wWinMain 函数也就是样本的入口函数,发现这个样本的整个函数流程也比较简单,就是通过调用系统函数 FindSourceW 查找自身应用中的 AAAA 的资源部分,找到这部分资源后将资源释放到系统的 TEMP 临时目录中,并进行调用 SellExecuteW 系统函数启动所释放的应用程序。启动后就采用 bat 文件方式进行自删除应用。



上图是该样本中实现自删除应用程序的功能,首先往 system32 目录下通过调用 CreateFileW 函数创建一个 hfblddel.bat 的文件,这个文件的内容就是判断自身样本是否还存在,如果存在就直接 del 掉,最后通过调用 ShellExecuteW 函数采用静默的方式执行 bat 文件的内容。



上图是通过启动样本后释放出来的应用程序:微骑兵配套版本、libcurl。


接下来就是对这两个样本的实际功能分析。




通过实际对微骑兵配套版本的样本分析(应用程序的签名信息;比对真实应用的文件大小和大概功能),微骑兵配套版本的应用程序实际上就是微信的一个 2.7.1 旧版本的安装包,并没有做任何任务修改。这个病毒样本也应该就是借助微信应用程序 2.7.1 版本的某个漏洞做对应的所谓无门槛加好友功能。


Libcurl 样本分析



这个 libcurl 程序也是通过基于 MPlayer 这个播放器进行修改伪装的恶意软件,这个应用程序的样本也没做好免杀功能,病毒查杀软件一扫描就被识别出来了,这么多套路下来免杀没做好也是个废材。并且这个应用程序也都没做样本的加壳保护,所以分析起来就没有门槛了,仔细分析下,这些所谓的病毒功能都一览无余了。




通过上图 IDA 的流程图中可以看出,该样本功能还是相对比较简单的,但这个也是假象,这个样本的实际功能还是比较强大的,它会通过调用 CreateToolhelp32Snapshot 创建系统快照,然后查找 qq.exe 进程对其进行实现注入功能,所以也是个注入型的木马病毒。




这个样本中采用 TCP 网络通信方式和服务端 103.229.124.168(动态的 IP,香港的 IP 地址)进行通信,这个通信目标就是通过收集运行环境中的敏感数据上传到服务器中。


有了这些敏感信息这个攻击者就可以进行售卖敏感信息或者直接利用敏感信息进行二次攻击了


 

总结


1、微信加好友应用程序是个加载器,这个程序启动的时候会在临时目录下释放两个文件,等释放和启动两个文件后,这个程序就自动退出了。


2、微骑兵这个程序是微信正常旧版本的安装程序,就是为了复现旧版本的微信无限加好友漏洞。


3、Libcurl 这个真正病毒功能的应用程序,这个程序有 tcp 的网络通信,这个程序除了操作微信外,还有对指定的程序进行遍历和注入 qq.exe 功能,属于注入类型的木马。当然它也还有一些其他功能,由于篇幅有限,这里就不进行详细展示了。


切记,对于未知来源和未知安全性的软件不可因为好奇心去下载点击,现在的网络钓鱼手段之所以能成功,一个很重要的因素就是借助人的好奇心。所以好奇心是能害死猫的。虽然这个样本的免杀功能没做好,没有躲过杀毒软件的查杀,但是总有那些不安装杀毒软件的用户吧。


另外,对于这种不确定安全的软件的分析,还是得在虚拟机环境或者专门用于样本的分析环境中对样本进行分析。样本的分析可以重点关注于样本的构成部分、样本的运行时的动态调试具体功能分析、样本的文件读写行为、样本操作注册表行为(常用于自启动行为)、样本的网络通信行为。通过这几个行为的分析基本可以分析出样本的大部分功能。


- EOF -




推荐阅读  点击标题可跳转

0、极客专属:几十款程序员秒懂的卫衣

1、会画色图的 AI,为什么无法领悟色色的真谛

2、假如我是核酸系统架构师,我会...

3、Linux 性能分析工具汇总


关注「程序员的那些事」加星标,不错过圈内事

点赞和在看就是最大的支持❤️

微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
嘘寒问暖甜蜜套路:华裔老人被骗$25万,痛诉杀猪盘套路!这个假期飞有点贵!澳洲国内机票价格飙至15年新高!经济舱涨幅最大现在的设计竞赛,全是套路!走过最难的路竟是信号通路!NF-κB?MAPK?AKT?PI3K?1次解决12个信号通路!年底海外诈骗层出不穷,侨胞们当心套路!多伦多男子被罚困餐厅24小时 他干了这件有意义的事!澳CBD公寓再现女尸! 华人男子涉连环谋杀, 警方透露: 两起案件有关联【E诗配画】Spring Morning南加华人圈杀猪盘套路不断翻新 新套路看这里咀外文嚼汉字(179)“雎鸠”VS.“魚鷹”(Misago)我走过最长的路,就是设计院的加班套路!康复与理疗的区别佩飞机内幕. 台湾被卖? 中美缓和满满都是套路!“杀猪盘”走向国际!LA房产经纪竟成“重点目标”!当心亚马逊不退钱的套路!网购收到“泥巴” 就是不退钱差点上当!疫情诈骗新套路!对待清零和共存的争论,我准备做一件有意义的事最后机会!$8.99收资生堂发膜, Dr.Jart 绿药丸面膜!HongMall全场直降无套路!待会删!揭秘京东买酒的套路!涨涨涨!新泽西燃气费涨价!如何省钱过冬?无套路!免费领!毛泽东工农红军的武器从哪里来6+m6A新套路!只需多关注一下非编码RNA!高分代表作搞起来!生态适配、市场份额双双领先,统信软件 2023 全新战略发布!统信软件 UOS 上线官方知识分享平台小米汽车泄密事件有后续,雷军发声氛围感拉满!这个假期快去芝加哥植物园欣赏灯光景观~中国驻外使馆认证办理好的认证文件有效期是多久?使馆认证、交部认证、双认证如何区分?胡某宇事件有个重点大家不应忽略——否则······年底海外诈骗层出不穷,侨胞们当心套路!盗抢猖獗,该怎么办?统信软件成为国内首家获得 “商用密码产品认证证书” 的操作系统厂商巴西总统:国会冲击事件有“内鬼”,武装部队应对不力2022年单基因泛癌5+新套路!性价比超高!赶紧来学!鹦鹉史航:读了这本书,你就知道电影里有多少套路!旧瓶装新酒!这个月最新5+铁死亡套路!告诉你单细胞signature新方向!揭秘“杀猪盘”新套路!更具迷惑性和欺骗性,受害人几乎全都是华人...
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。