木马盗用风行播放器签名流氓推广-360安全卫士-windbg调试.PDFVIP

原原文文地地址址:/papers/9736 by qxnjawk 0x00 摘摘要要 最近，360安全中心检测到，大量推广程序在推广一款带有有效风行签 ——“Beijing Funshion Online Technologies Ltd ”的静默安装程序。后续分析发现，该程序静默安装，无法卸载，通过LSP注 入系统各个联网进程执行。带有反虚拟机，反调试，抗分析，远程控制，远程执行的能力，是一款植入用户计算机的后门程序。 0x01 FunMini文文件件分分析析 基基本本信信息息：： MD5 : 64a34cc9a22fa93d0705920e4c3aed0c 文件 称 : FunMini exe 文件类型 : PE，未加壳 签 信息 : Beijing Funshion Online Technologies Ltd 签 正常 风行公司的推广程序 行行为为概概述述：： 该样本运行之后，会对目标机器的环境进行检测：检测虚拟机，各种程序开发工具等。 如果不存在开发工具和虚拟机，就会下载一个后门dll程序加载执行，该dll还会进行手机app推广。 行行为为详详解解：： 木马检查用户机器上是否存在IDA, vc6 0, windbg exe等分析人员常用的分析工具。这类检测在木马程序中很常见，正常面向大众的软件，很少做这类检测。 以下为木马检测的所有字符串的内存截图： 检测通过之后，后门从服务器下载一个 为Foamii dll的文件，而该文件才是一切行为的核心。 0x02 Foamii.dll文文件件分分析析 基基本本信信息息：： 称 : Foamii dll MD5 : a8367b 1199422f103da439678a1a3683 文件类型 : win32 PE,DLL 签 信息 : Beijing Funshion Online Technologies Ltd 签 正常 行行为为详详解解：： 木马首先调用WinExec函数启动rundll32 exe作为宿主进程，调用Foamii dll的startup函数 运行后，dll会从服务器读取在线shellcode代码到本地 shellcode的远端地址竟然就堂而皇之的挂在风行官网上：/instant/instant?bid=52用浏览器打开该URL内容如下： 数据报文如下图： GET /instant/instant?bid=52 HTTP/1.1 Cache Control: max age=43200 User Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) Funshion/ Host: Connection: Keep Alive HTTP/1.1 200 OK Server: nginx/1.2.0 Date: Wed, 23 Sep 2015 07:12:02 GMT Content Type: text/html; charset=utf 8 Transfer Encoding: chunked Connection: close Vary: Accept Encoding 184 ..TKDS…..$..e..1..}…_/…6………..d..`CG..W…S…..V……= …..\.Gd4..*..a}…X.#..Y…}R …o\W.]I.M.Jw…%.Lm.l._..Zq..n1.X [+F.+….~…c.J…~.]./..’d2…….z.c(.{.(.n..%..8=.3`.`.W…!….E..1.j.U….[.. #……T…/……!.iDEKOY@….=yH.i.MV…..i…..A…..e.._g.YL`…..,5]R..`…… Y….(e….@.J.%.O.T.l..U+…….5..6.]..a{`.? .IEX….xx….. …k…}…I..\ 0 而加载shellcode后，代码会向服务器发起访问，返回信息则是一个json串： 显然，json串中又为shellcode指明了一个新的下载地址，下载回来的则是一个 为Foamii zip的压缩文件 当Foamii dll将Foamii zip下载回来之后，将其解压，并进一步释放了一个 为FunNail dll的程序 0x03 Fun ail.dll文文件件分分析析 文文件件信信息息：： 文件 称 : FunNail dll MD5 : 042ace2a209f537bb9402a