木马逆向分析报告_mpscn4.0.exe
出于兴趣,前段时间参加了学院组织的‘电信诈骗计算机木马逆向分析’比赛。然而到自己真正去做时,才体会到其难度。。期间数次面对反汇编后的源码,进行debug,由于代码量以及难度大,曾数次产生放弃的念头(-_-)。还好在伙伴的支持下,坚持完成了下去。不过撰稿临近结束时,由于电脑突然蓝屏,再加上之前的文档并没有保存,瞬间泪奔。。。只好熬夜重写分析报告。由于个人技术有限,这篇分析报告很粗浅,请见谅~
[特洛伊木马(Trojan Horse),在计算机领域中指的是一种后门程序,是用来盗取其他用户的个人信息,甚至是远程控制对方的计算机而加壳制作,然后通过各种手段传播或者骗取目标用户执行该程序,以达到盗取密码等各种数据资料等目的。与病毒相似,木马程序有很强的隐秘性,随操作系统启动而启动。 —-wikipedia]
1.对mpscn4.0.exe木马程序进行初步观察,分析
(1).首先用腾讯电脑管家进行初步杀毒,然而并没有任何异常显示,且未发现病毒
(2).接下来,查看mpscn4.0.exe
的属性,发现其版权是属于TeamViewer
,然后找到正版的TeamViewer和其进行对比:
可以发现,这两个文件的版权都同属于TeamViewer,同时mpscn4.0.exe
的文件大小只有4.84MB,而TeamViewer.exe
的文件大小却达到22.8MB。
(维基百科查询可知:TeamViewer是一个远程控制软件,兼容于Microsoft Windows、Mac OS X、Linux、iOS、Android操作系统,也可以通过网页浏览器连接已安装TeamViewer的电脑。TeamViewer GmbH公司创建于2005年,总部位于德国,致力于研发和销售高端的在线协作和通讯解决方案。)
这里很容易发现mpscn4.0.exe
的异常情况:
- 该程序是由TeamViewer经过精简后再改编伪装为自己的软件。
- 该程序的文件大小只有4.84MB,其功能必定和TeamViewer远程控制软件不同。
下图是mpscn4.0.exe在虚拟机中的运行界面:
2.对程序进行反编译,debug,逆向编译,提取出4个dll文件,以及监视其运行创建进程后线程的执行状态
(1).首先通过反编译,分析其具体的运行流程
(2).虽然我们已学过汇编,但从未接触过逆向反编译,以及如此多的代码量依旧困扰了我们很久,于是便解压缩反编译,通过监视木马程序运行后线程的变化,提取出4个可疑的dll文件:
ReadCustomerData.dll
,nsis7z.dll
,InstallOptions.dll
,TvGetVersion.dll
(3).通过分析监视木马程序运行后线程的变化行为大致分析出4个dll文件的情况如下:
(I).ReadCustomerData.dll
拷贝自身到其他目录
%ProgramFiles%\ReadCustomerData.dll
(II).nsis7z.dll
搜索指定窗口,拷贝自身到其他目录
%ProgramFiles%\nsis7z.dll
(III).InstallOptions.dll
拷贝自身到其他目录
%ProgramFiles%\InstallOptions.dll
(IV).TvGetVersion.dll
检测指定文件是否开启WINDOWS文件保护
拷贝自身到其他目录
%ProgramFiles%\TvGetVersion.dll
在其他进程中申请内存
%ProgramFiles%\MSN Gaming Zone\Windows\zClientm.exe
%system%\sysocmgr.exe
%system%\verclsid.exe
添加开机自启动项
[NULL] - %system%\LangWrbk.dll
[NULL] - %system%\ciodm.dll
[NULL] - %system%\ixsso.dll
[NULL] - %system%\mimefilt.dll
[NULL] - %system%\query.dll
[NULL] - CIAdmin.dll
[NULL] - OffFilt.dll
[NULL] - infosoft.dll
[NULL] - nlhtml.dll
[NULL] - query.dll
创建互斥体
“Shell.CMruPidlList”
创建进程
%ProgramFiles%\MSN Gaming Zone\Windows\zClientm.exe%system%\sysocmgr.exe%system%\verclsid.exe%system%\wbem\wmiadap.exe
3.分析总结
木马程序mpscn4.0.exe
运行以后首先便开始加载动态链接库,接着在系统指定的文件夹内创建文件,将自身复制进去,然后便将TvGetVersion.dll文件拷贝到其他目录,运行检测指定文件是否开启WINDOWS文件保护,同时在其他进程中申请内存,添加开机自启动项,创建互斥体Shell.CMruPidlList
,创建进程wmiadap.exe
,进行夺权。当完成这一切操作,实现对本机的控制权后,便开始移动重命名文件,删除之前复制,创建的文件,实行自毁。
- 预防方法:
当今这个网络时代,病毒泛滥、木马横行,还有流氓软件、恶意网站等等各路牛鬼蛇神时刻窥伺着,系统中标、软件崩溃那是司空见惯的家常便饭。于是乎各类杀毒软件、网络防火墙、木马清理工具才像雨后春笋般地冒出来。但是,即便用这些工具把电脑“武装到牙齿”,Windows有时候仍然免不了“瘟倒死”的结果:
很多病毒会关闭杀毒软件使之失去保护,
病毒库也有不及时不完整的问题;
网络防火墙如果配置不当会留下漏洞;
木马清理工具也不能面面俱到没有疏漏。
……
总之,平时养成良好的上网习惯,辨别能力,以及安全防范意识,技能才是根本之道。