• :
  • 新网购木马-“网银大盗”分析报告-爱毒霸交流论坛
    用户
     找回密码

        找回密码

    QQ登录

    只需一步,快速开始

    搜索

    新网购木马-“网银大盗”分析报告

      [复制链接]

    该用户从未签到

    发表于 2012-2-14 17:16:01 只看该作者

    马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

    您需要 登录 才可以下载或查看,没有帐号?

    x
    本帖最后由 snowlee 于 2012-2-15 15:49 编辑

    末日情人节,你为心爱的他准备了什么礼物呢?当你在网上精心为她挑选礼物时千万要小心网购木马入侵!进入二月以来,我们发现网购木马日常活跃,以下是这类网购木马的详细分析报告
    一. 病毒描述:
    网购木马运行后会在用户使用网银购买商品时,弹出钓鱼页面把用户银行的钱为病毒作者购买联通充值卡或其他商品.
    该病毒会用带数字签名的好压程序(或暴风程序)来加载病毒模块并将木马模块注入到系统进程中让系统进程作为病毒载体运行.
    受影响网银:中国银行,中国工商银行,中国民生银行,浦发银行,招商银行 等
    二.变量声明:
    %System32%           win32子系统目录通常为C:\windows\system32
    %ProgramFiles%         软件安装目录 通常为C:\Program Files
    三.病毒文件:
    QQ截图20120214172311.png
    四.病毒母体工作流程分析(HaoZip.dll):
    1.正常的好压程序被运行后,该病毒dll会被加载.
    2.当该dll被加载后,首先会创建一个互斥对象,并通过返回值判断此对象是否存在,如果存在则表示好压程序已经运行并且该dll已经被加载,故会让刚刚运行的好压程序退出.
    3.如果是第一次被加载,会首先获得其进程主模块文件名并判断是不是好压程序是否成功运行的标志.
    4.dat中读取1024字节(最终PESizeofHeaders)到申请的空间中,依次异或0x4c并加0x4d用来解密,最后把解密后的PE头信息存放到文件中
    999999.jpg

    6.创建注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run设置自启动.
    666666666.jpg

    7.接着病毒进入了一个while死循环,通过全局变量保存傀儡系统进程的进程ID,每隔5秒检测预先保存的傀儡进程ID是否有效,来判断傀儡进程是否存在,如果不存在就重新创建.直到好压程序被结束才会退出该循环.
    888888.jpg

    五. 母体创建傀儡进程分析:
    1.如果不存在,则进入到创建傀儡进程的流程,这也是母体的一个亮点.
    2.首先读入dat文件,此文件为最终网购木马的PE头部部分大小1024字节,通过读入内容来校验MZ头PE头等有效性,以及获得SizeOfImage OEP等关键PE信息.
    3.,然后进行解密,解密方法依次异或0x4c并加上0x4d,先解密PE头部,然后依次解密各个节.在解密过程中会校验,如有不同则不会解密.
    55555555555.jpg

    4.然后获取后续注入用的函数地址:ZwUnmapViewOfSection VirtualProtectEx VirtualAllocEx WriteProcessMemory SetThreadContext ResumeThread ReadProcessMemoryGetThreadContext CreateProcessAsUserA等函数的地址,为后续“注入”做准备.
    5.枚举进程获得Explorer.exe的进程ID,然后 获得EXPLORER.EXE的进程访问令牌.
    6.然后以挂起标志创建傀儡系统进程,应用程序路径为%System32%\notepad.exe,把其访问令牌设置为12中得到的Token,并且其桌面设置为winsta0\\default,而不是继承其主进程的桌面.
    77777777777.jpg

    7.获得刚创建的傀儡系统线程上下文ThreadContext.
    8.获得进程主映像文件的映像加载基地址.即获得系统原文件的ImageBase
    7.png

    9.最后传入ImageBase卸载掉进程notepad.exe的主映像.
    10.在notepad.exe进程中申请空间容纳已经在好压程序进程空间中解密完成的病毒PE文件.
    11.修改PEB处原进程ImageBase
    12.在notepad.exe的进程空间中从地址0x00400000开始写入解密后的病毒PE文件.
    13.并设置此时线程上下文eax的值为病毒PE文件的OEP.然后把上下文信息设置回去
    8.png

    14.恢复notepad.exe进程运行,这样貌似正常的系统进程notepad.exe实际上运行的是病毒代码.这样傀儡进程就创建完毕.可见病毒作者对内核还是有一定了解的.
    六.主功能网银劫持木马文件分析:
    1. 首先病毒运行会创建隐藏窗口,并修改其窗口回调函数.
    2. 设置一定时器Timer,每隔一段时间枚举当前系统进程,检测是否有sougouexplorer.exe的存在,因为病毒的功能是基于IE内核,所以如果用户运行搜狗浏览器则会结束掉.
    3设置另一定时器Timer,每隔一段时间枚举当前桌面所有窗口句柄,然后调用GetClassName获得其类名,并将类名与Internet Explorer_Server进行比较,如果其类名是Internet Explorer_Server,表明用户正在浏览IE页面.
    9.png

    4. 从IE浏览器控件中获得关键指针.
    5. 获得指针之后就可以获得IE页面的各种信息.以及修改当前页面的相关信息.
    6. 通过调用WININET.DLL的导出函数来来读取病毒作者指定的网页用来获得病毒作者事先准备的邮箱等.
    0.png

    调试信息
    11.png

    7. 调用WININET.DLL的导出函数访问读取另一个网址http://bank.corsgate.com/msg.asp?Uid=c5344b32-5726c3e5-ca852db5-dae88a7d的内容获得病毒进程要弹框的对话框标题 内容为:系统不支持.因为病毒作者使用的是E语言模块,是破解版,但是和谐不了其模块的验证机制,所以程序运行通过自校验此E语言模块会弹框正常情况下会弹出内容为:该模块已被恶意修改过,为了确保模块不会被邦定木马!请到[精易论坛]下载原始版!....的对话框,而为了不让用户注意所以病毒作者修改了此弹框内容把弹框内容改为系统不支持.
    22.png

    8. 获得当前IE页面的domain域名信息如果其域名信息模糊匹配到了以下中的任何一个:
    location.cashier.alipay.com/standard/payment/cashier.htm  支付宝支付页面
    www.99bill.com/bankgateway/bankCardPayRedirectResponse.htm.----快钱
    netpay31.sdo.com/paygate/BankCallBack.aspx.---- 盛付通
    payment.safepass.cn/bank_receive.php.----百联电子商务支付
    bank.yeepay.com/app-merchant-proxy/neticbcsztobank.action---易宝支付
    www.game2.cn/?view=info¬ice=.pay.soopay.net/spay/pay/wyPayReturn.do.payment.----哥们网游平台
    chinapay.com/pay/Output.jsp.pay.ztgame.com:91/result.php-----银联在线
    此外病毒对人人网, 4399上的支付也有同样的劫持效果.
    9.  如果匹配成功,表明用户在相关网购支付页面,使用js脚本如document方法,使其页面最终会跳转到http://upay.10010.com/web/Buycard/BuycardInit.
    10. 当用户选择银行点击下一步提交时,病毒获得页面信息进而获得用户所使用的银行 以及购买数量和需要使用的金额.用于生成钓鱼页面.
    11. 其中病毒对淘宝页面有特殊处理,当用户到达支付页面时,病毒会修改网页内容,使用户不能使用余额支付,当用户使用卡通支付时,在跳转页面后病毒会修改主页显示卡通不能用,总之病毒的目的就是迫使用户使用网银支付.
    33.png
    44.png
    55.png

    12. 当用户选择网上银行,然后欲登录网银支付页面时,病毒将用户的花费信息以及所使用的银行发送到病毒作者域名空间中.
    66.png

    http://bank.corsgate.com为病毒作者自己的域名网址.
    13. 然后根据获得的银行然后和病毒所支持的钓鱼页面银行名单做对比,如果符合则开始进行为病毒作者购买联通充值卡.符合病毒的网上银行有:中国农业银行,广发银行,中国银行,中国工商银行,中国民生银行 浦发银行 招商银行 等.
    14. 如果符合的话则病毒会跳转页面.快速跳转到联通购卡面,
    15. 然后病毒迅速填写购买充值卡数量,其中需要填写验证码,这点病毒不可绕过,所以病毒会弹出一个页面,同步购卡页面的验证码来诱使用户填写验证码.
    77.png

    16. 当用户填写验证码点击继续支付时,病毒会迅速填写表单,把需要填写的邮箱填写为病毒作者的邮箱,这样购买的卡号等会通过病毒作者的邮箱来获得,然后自动跳转并且病毒自动点击下一步,直至将要跳转到网银支付阶段.由于填写迅速所以用户很难发现此页面的存在过.
    88.png

    17. 然后根据用户使用的银行 以及所花费的金钱 订单数等生成一个假的支付页面,URL不变的情况下加载病毒生存的url页面.其支付页面具有真实的支付功能,只是相关表单是病毒通过用户购买真实的物品所填写,而不是填写病毒的购卡信息等.用来诱骗用户支付.当用户输入相关银行帐号密码等,其实际购买的是联通充值卡,而卡号相关的被发送到病毒作者的邮箱中.
    到此病毒窃取用户网银金钱成功.当用户付完款后会提示交易超时等让用户在此付款直到卡内没钱.
    99.png

    七.辨别真假网银页面:
    下面看下网银页面真假对比
    00.png
    通过上面的真假页面对比可知,他们有一个共同点:订单号的区别.
    即正常网银的支付页面的订单信息中订单号是以当前日期为开始的,而假页面的订单号为随机的几位数字.
    即用户通过判断订单号是否是以当前日期为开始的数字串即可辨别此类病毒所导致的钓鱼页面.
    八. 好压/暴风程序"漏洞"分析:
    病毒作者之所以选择好压或者暴风程序作为病毒Loader,是因为好压/暴风在运行时会加载haozip/StromUpdate.dll,但该升级程序疏忽的两点是1.该程序未对DLL路径做任何判断,只是简单的获取好压/暴风程序的路径然后在其目录下拼接dll路径(如果对DLL路径做检测比如DLL路径必须是好压/暴风的安装路径的话,可能病毒dll就不会被加载).2.该程序没有对其DLL做校验,比如检测是否有好压/暴风的数字签名,以及crc32校验等.正因为这两点疏忽导致被病毒利用.
    222.jpg












    点评

    http://bbs.kafan.cn/thread-1223969-1-1.html 看看这个同类的,MS是用金山的文件?  发表于 2012-2-15 14:42
    样本地址http://bbs.duba.net/forum.php?mod=attachment&aid=MTY3NDIwMzN8ODU0NjRmMWV8MTMyOTI2MzI4OXwxNTY3Mjg5fDIyNjQzMjQ3  发表于 2012-2-15 07:52
    这是最棒的网购木马分析报告  发表于 2012-2-14 17:24

    评分

    参与人数 1元宝 +1 收起 理由
    じ厡來莪芣帥ㄨ + 1 赞一个!

    查看全部评分

    使用道具 举报 回复
    能否每个分析都附上pdf版本的下载连接,方便收藏呢?

    点评

    PDF文档可以加回复后可见,同时限制阅读权限,不到一定积分不能下载。  发表于 2012-2-14 18:20
    使用道具 举报 回复 支持 反对
    太专业  表示看不懂。。。
    使用道具 举报 回复 支持 反对
    好吧,我只能支持顶起了,我看不懂。。。
    使用道具 举报 回复 支持 反对
    看着这个我想起了单片机和C语言还有汇编语言!
    使用道具 举报 回复 支持 反对
    跪求,膜拜~~{:soso_e179:}{:soso_e179:}{:soso_e179:}{:soso_e179:}{:soso_e179:}

    点评

    你可以看一下 www.dz320.com 大主宰  发表于 2013-6-5 22:35
    使用道具 举报 回复 支持 反对
    好强大的分析报告哇, 膜拜~
    使用道具 举报 回复 支持 反对
    支持
    使用道具 举报 回复 支持 反对
    专业啊:)
    使用道具 举报 回复 支持 反对
    分析的很透彻,顶一下
    使用道具 举报 回复 支持 反对
    来看技术贴
    使用道具 举报 回复 支持 反对
    恶意文件往往图标具有诱惑性,大家要擦亮双眼哦。
    使用道具 举报 回复 支持 反对
    分析的很好,期待更多类似的分析!!!!!
    使用道具 举报 回复 支持 反对
    不知道和以前的劫持浏览器支付流程的muma有啥区别
    使用道具 举报 回复 支持 反对
    看不懂。看了只有一个字:怕。
    使用道具 举报 回复 支持 反对
    .....................................................................
    使用道具 举报 回复 支持 反对
    真的非常详细,赞一个!
    使用道具 举报 回复 支持 反对
    技术贴
    使用道具 举报 回复 支持 反对
    不提供病毒文件的下载么?我想运行体验一下

    点评

    样本地址http://bbs.duba.net/forum.php?mod=attachment&aid=MTY3NDIwMzN8ODU0NjRmMWV8MTMyOTI2MzI4OXwxNTY3Mjg5fDIyNjQzMjQ3  详情 回复 发表于 2012-2-15 07:52
    卡饭上有这个样本。搜索一下吧。这几天挺红火的,过360.  发表于 2012-2-14 22:16
    使用道具 举报 回复 支持 反对
    好贴,顶美女病毒分析
    使用道具 举报 回复 支持 反对
    您需要登录后才可以回帖 登录 | 注册

    本版积分规则