木马逆向分析报告_mpscn4.0.exe

Author Avatar
thychan Nov 25, 2016
  • Read this article on other devices

​ 出于兴趣,前段时间参加了学院组织的‘电信诈骗计算机木马逆向分析’比赛。然而到自己真正去做时,才体会到其难度。。期间数次面对反汇编后的源码,进行debug,由于代码量以及难度大,曾数次产生放弃的念头(-_-)。还好在伙伴的支持下,坚持完成了下去。不过撰稿临近结束时,由于电脑突然蓝屏,再加上之前的文档并没有保存,瞬间泪奔。。。只好熬夜重写分析报告。由于个人技术有限,这篇分析报告很粗浅,请见谅~

[特洛伊木马(Trojan Horse),在计算机领域中指的是一种后门程序,是用来盗取其他用户的个人信息,甚至是远程控制对方的计算机而加壳制作,然后通过各种手段传播或者骗取目标用户执行该程序,以达到盗取密码等各种数据资料等目的。与病毒相似,木马程序有很强的隐秘性,随操作系统启动而启动。 —-wikipedia]

1.对mpscn4.0.exe木马程序进行初步观察,分析

(1).首先用腾讯电脑管家进行初步杀毒,然而并没有任何异常显示,且未发现病毒

(2).接下来,查看mpscn4.0.exe的属性,发现其版权是属于TeamViewer,然后找到正版的TeamViewer和其进行对比:
mpscn4.0.exeTeamViewer

可以发现,这两个文件的版权都同属于TeamViewer,同时mpscn4.0.exe的文件大小只有4.84MB,而TeamViewer.exe的文件大小却达到22.8MB。
(维基百科查询可知:TeamViewer是一个远程控制软件,兼容于Microsoft Windows、Mac OS X、Linux、iOS、Android操作系统,也可以通过网页浏览器连接已安装TeamViewer的电脑。TeamViewer GmbH公司创建于2005年,总部位于德国,致力于研发和销售高端的在线协作和通讯解决方案。)

这里很容易发现mpscn4.0.exe的异常情况:

  • 该程序是由TeamViewer经过精简后再改编伪装为自己的软件。
  • 该程序的文件大小只有4.84MB,其功能必定和TeamViewer远程控制软件不同。
    下图是mpscn4.0.exe在虚拟机中的运行界面:
    mmjmmmjm2

2.对程序进行反编译,debug,逆向编译,提取出4个dll文件,以及监视其运行创建进程后线程的执行状态

(1).首先通过反编译,分析其具体的运行流程
cxrk
fhb2
fhb1
fhb5

(2).虽然我们已学过汇编,但从未接触过逆向反编译,以及如此多的代码量依旧困扰了我们很久,于是便解压缩反编译,通过监视木马程序运行后线程的变化,提取出4个可疑的dll文件:

ReadCustomerData.dllnsis7z.dllInstallOptions.dllTvGetVersion.dll

fhb6
fhb
fhb3
fhb4

(3).通过分析监视木马程序运行后线程的变化行为大致分析出4个dll文件的情况如下:

(I).ReadCustomerData.dll

  • 拷贝自身到其他目录

    %ProgramFiles%\ReadCustomerData.dll

(II).nsis7z.dll

  • 搜索指定窗口,拷贝自身到其他目录

    %ProgramFiles%\nsis7z.dll

(III).InstallOptions.dll

  • 拷贝自身到其他目录

    %ProgramFiles%\InstallOptions.dll

(IV).TvGetVersion.dll

  • 检测指定文件是否开启WINDOWS文件保护

  • 拷贝自身到其他目录

    %ProgramFiles%\TvGetVersion.dll

  • 在其他进程中申请内存

    %ProgramFiles%\MSN Gaming Zone\Windows\zClientm.exe

    %system%\sysocmgr.exe

    %system%\verclsid.exe

  • 添加开机自启动项

    [NULL] - %system%\LangWrbk.dll

    [NULL] - %system%\ciodm.dll

    [NULL] - %system%\ixsso.dll

    [NULL] - %system%\mimefilt.dll

    [NULL] - %system%\query.dll

    [NULL] - CIAdmin.dll

    [NULL] - OffFilt.dll

    [NULL] - infosoft.dll

    [NULL] - nlhtml.dll

    [NULL] - query.dll

  • 创建互斥体

    “Shell.CMruPidlList”

  • 创建进程

    %ProgramFiles%\MSN Gaming Zone\Windows\zClientm.exe%system%\sysocmgr.exe%system%\verclsid.exe%system%\wbem\wmiadap.exe


3.分析总结

木马程序mpscn4.0.exe运行以后首先便开始加载动态链接库,接着在系统指定的文件夹内创建文件,将自身复制进去,然后便将TvGetVersion.dll文件拷贝到其他目录,运行检测指定文件是否开启WINDOWS文件保护,同时在其他进程中申请内存,添加开机自启动项,创建互斥体Shell.CMruPidlList,创建进程wmiadap.exe,进行夺权。当完成这一切操作,实现对本机的控制权后,便开始移动重命名文件,删除之前复制,创建的文件,实行自毁。

  • 预防方法:

当今这个网络时代,病毒泛滥、木马横行,还有流氓软件、恶意网站等等各路牛鬼蛇神时刻窥伺着,系统中标、软件崩溃那是司空见惯的家常便饭。于是乎各类杀毒软件、网络防火墙、木马清理工具才像雨后春笋般地冒出来。但是,即便用这些工具把电脑“武装到牙齿”,Windows有时候仍然免不了“瘟倒死”的结果:

很多病毒会关闭杀毒软件使之失去保护,

病毒库也有不及时不完整的问题;

网络防火墙如果配置不当会留下漏洞;

木马清理工具也不能面面俱到没有疏漏。

……

总之,平时养成良好的上网习惯,辨别能力,以及安全防范意识,技能才是根本之道。