查看: 2324|回复: 10

【逆向工程】手撕带木马壳的 “VIP获取助手”

[复制链接]

签到天数: 887 天

连续签到: 3 天

[LV.10]以坛为家III

57

主题

3550

积分

178

支持

发表于 2017-12-11 13:54:14 来自手机 | 显示全部楼层 |阅读模式

马上注册,享受积分奖励和更多功能,让您轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?注册

x
本帖最后由 tmp00000 于 2017-12-11 14:16 编辑

最近论坛里面出现了具有迷惑性的 “VIP获取助手”, 宣称可以获取视频网站的 VIP 账号。那么,这些账号是哪来的呢?让我们找出来!
下载了他们提供的软件之后,我们可以看到 “CSkin.dll“ 和 “VIP 获取助手.exe“。





反编译 CSkin.dll 可以看出这是个被混淆过的皮肤包,里面是一堆控件。除了里面有 unsafe 代码以外看不出有什么可疑的地方。





接下来是 VIP获取助手。把它用 Visual Studio 打开。





先看看清单。里面有申请 UAC 管理员权限的声明。说明这个程序是有问题的。发几个 Http 请求就要管理员权限,多半是想搞木马才会这样做。





下面的 WIN32EXE 资源格外显眼。打开看看。它们都是 PE 格式的文件,花样很多。倒着往上看。先把编号是 320 的那个 exe 取出来。
可以看到它的图标跟壳的图标是一样的。那把它取出来就说明脱壳成功了。现在再检查一下脱壳之后的部分有没有毒。





反编译脱壳出的 exe。能它是用低版本的 C# 编译器编译出来的。里面的代码东拼西凑,各种命名习惯都有。这个程序看起来只是个爬虫,看不出有什么直接危害系统的代码。





那么回来看看剩下的三个是什么东西。
149 里面有 UPX 字样。应该是个加壳的 EXE。壳里套壳估计是想做免杀。不过它已经暴露身份了。“SetHomePage.dll”, "Homeguard" 看一眼就知道是干啥的。
151,152 导入表写了一堆内核态的函数,其中 151 是驱动程序,152 看起来像一种驱动级别的调试器。一看就知道不是干好事的。

这个壳子本身的导入表里面有遍历,暂停,恢复,读写进程用的函数。说明它本身可能有害。

评分

参与人数 2 支持 +14 收起 理由
忘水草 + 8 太强悍了
JiayiZS + 6 必须支持

查看全部评分

来自:68861B8 WIN10 PC版客户端

签到天数: 1298 天

连续签到: 3 天

[LV.10]以坛为家III

85

主题

2344

积分

91

支持

发表于 2017-12-11 14:15:05 来自手机 | 显示全部楼层
楼主辛苦了。

来自:Lumia 950 XL Win10旗舰-智机社区客户端
[你知道吗]:

签到天数: 664 天

连续签到: 1 天

[LV.9]以坛为家II

20

主题

853

积分

0

支持

发表于 2017-12-11 14:20:38 来自手机 | 显示全部楼层
楼主  厉害了

来自:Lumia 930 -智机社区客户端
[你知道吗]:

签到天数: 569 天

连续签到: 78 天

[LV.9]以坛为家II

15

主题

1084

积分

5

支持

发表于 2017-12-11 14:57:02 | 显示全部楼层
厉害了大师  
[你知道吗]:

签到天数: 358 天

连续签到: 1 天

[LV.8]以坛为家I

1

主题

551

积分

0

支持

发表于 2017-12-11 16:17:36 来自手机 | 显示全部楼层
厉害了!

来自:Lumia 525 -智机社区客户端 WP8.1

签到天数: 699 天

连续签到: 3 天

[LV.9]以坛为家II

23

主题

1448

积分

4

支持

发表于 2017-12-11 16:18:16 来自手机 | 显示全部楼层
所以還是不要貪小便宜好...
来自:Surface Pro 4 WIN10 PC版客户端
[你知道吗]:

签到天数: 717 天

连续签到: 125 天

[LV.9]以坛为家II

28

主题

1535

积分

10

支持

发表于 2017-12-11 17:57:42 来自手机 | 显示全部楼层
论坛需要楼主这样的好人

来自:Lumia 1520 -智机社区客户端

签到天数: 271 天

连续签到: 2 天

[LV.8]以坛为家I

8

主题

949

积分

4

支持

发表于 2018-5-5 22:12:55 来自手机 | 显示全部楼层
我好像使用过一次

来自:Lumia 950 Win10新机-智机社区客户端
[你知道吗]:

签到天数: 693 天

连续签到: 1 天

[LV.9]以坛为家II

107

主题

3620

积分

44

支持

发表于 2018-5-5 22:32:09 | 显示全部楼层
ID:koopepe
之前用过一次那家伙分享的PanDownload,后来发现也是被改主页。。
估计那家伙就是专门拿人家的软件插入木马然后分享出来
提醒大家不要下载他分享的软件
您需要登录后才可以回帖 登录 | 注册

本版积分规则

        

网站地图| 小黑屋|京ICP证150706号|京B2-20160045| 京公网安备11010802018258号

Powered by Discuz! X3.4 / Copyright 2010-2017 © 智机网 WFUN.COM Inc. All rights reserved.

快速回复 返回顶部 返回列表