摘要：樣本下載樣本原文件鏈接我的分析過程包括提取的文件以及等鏈接提示請勿實(shí)體機(jī)分析樣本信息文件名稱樣本一，解壓后有兩個(gè)快捷方式顯示隱藏文件后，總共有個(gè)文件依次查看這幾個(gè)文件，就是一張空白圖，是自寫的一個(gè)動(dòng)態(tài)庫，中包含一堆數(shù)據(jù)，中內(nèi)容是創(chuàng)建目錄

樣本原文件 鏈接
我的分析過程包括提取的文件以及idb等 鏈接
提示：請勿實(shí)體機(jī)分析

文件名稱:樣本一.zip，解壓后有兩個(gè)快捷方式

顯示隱藏文件后，總共有6個(gè)文件

依次查看這幾個(gè)文件，bbs.bmp就是一張空白圖，nvwsrds.dll是自寫的一個(gè)動(dòng)態(tài)庫，temp中包含一堆數(shù)據(jù)，png.bat中內(nèi)容是

(1). mkdir "%programfiles%"-創(chuàng)建目錄
(2). rundll32.exe nvwsrds.dll,avmode -fn wmmmnbjhgigh-使用nvwsrds.dll中的avmode函數(shù)，并且傳入?yún)?shù)wmmmnbjhgigh

IDA加載nvwsrd.dll，定位到avmode函數(shù)，靜態(tài)分析不友好，因?yàn)槌绦虬罅炕ㄖ噶睿⑶易址畷r(shí)動(dòng)態(tài)解密的

nvwimg.dll
創(chuàng)建目錄 C:UserspyAppDataRoamingavmode，然后創(chuàng)建文件
C:UserspyAppDataRoamingavmode vwimg.dll，最后將nvwseds.dll中的內(nèi)容拷貝到nvwimg.dll中

temp
創(chuàng)建文件 C:UserspyAppDataRoamingavmode emp，將原目錄下的Temp文件內(nèi)容復(fù)制到C:UserspyAppDataRoamingavmode emp

decrypt
當(dāng)拷貝nvwimg.dll函數(shù)之后程序會(huì)加載C:....avmode vwimg.dll，并且退出當(dāng)前的
nvwsrds.dll，進(jìn)入nvwimg.dll之后程序會(huì)運(yùn)行到解密temp的區(qū)域，首先讀取temp文件到內(nèi)存，然后將數(shù)據(jù)以異或再相加的方式解密，解密之后程序直接跳轉(zhuǎn)到解密區(qū)域繼續(xù)執(zhí)行

avmode.inf
之后程序調(diào)用解密后PE程序的Run函數(shù)，在Run函數(shù)中，創(chuàng)建文件
C:UserspyAppDataRoamingavmodeavmode.inf，并且寫入數(shù)據(jù)

具體寫入的數(shù)據(jù)為:

[Version]
Signature="$CHICAGO$"
Provider=t@t.com, 2002
[DefaultInstall]
; DelReg=run_DelReg
AddReg=run_AddReg
[run_DelReg]
[run_AddReg]
hkcu,"SoftwareMicrosoftWindowsCurrentVersionRun","Update",,"rundll32.exe ""C:UserspyAppDataRoamingavmodeBitavmode.dll"",avmode"
[Strings]

獲取IP地址(1)
使用InternetOpenA初始化WinINet，InternetOpenUrlA連接到ip查詢網(wǎng)站ip38.com

獲取IP地址(2)
使用InternetOpenUrlA訪問http://t.qq.com/xiaokanrenshe...，然后InternetReadFile讀取返回的頁面代碼，strtok以”IP=”為分割字符分割源碼字符串，從而得到IP地址

建立套接字并通信
和上面得到的IP地址建立套接字連接與之通信，并建立線程后臺(tái)接收數(shù)據(jù)

HKCUSoftwareMicrosoftWindowsCurrentVersionRun
快捷方式2會(huì)調(diào)用LaunchINFSectionEx函數(shù)讀取avmode.inf添加注冊表鍵值

還有很多寫注冊表的操作，但是需要服務(wù)端發(fā)送命令再執(zhí)行相應(yīng)的操作，詳見功能描述

創(chuàng)建互斥體
使用CreateMutex創(chuàng)建互斥體

多次調(diào)用ShellExcute
在nvwsrds.dll中調(diào)用兩次ShellExcute函數(shù)來運(yùn)行rundll32.exe，第一次傳入打開圖片的函數(shù)來打開bbs.bmp，具體參數(shù)為：”rundll32.exe shimgvw.dll,ImageView_Fullscreen c:userspydesktop圖片bs.bmp”，第二次運(yùn)行加載C盤nvwimg.dll中的avmode函數(shù)

在Run函數(shù)中調(diào)用一次ShellExcute來打開pdf.bmp

開啟線程對抗殺軟
枚舉系統(tǒng)進(jìn)程，通過字符串比較，判斷是否含有殺毒進(jìn)程

開啟線程發(fā)送本機(jī)系統(tǒng)信息
在線程中會(huì)獲取主機(jī)名，操作系統(tǒng)版本信息，套接字信息，當(dāng)前系統(tǒng)信息，磁盤類型信息，磁盤大小容量，本地時(shí)間等等，某些信息或通過查詢注冊表項(xiàng)獲得，然后發(fā)送給服務(wù)端

本地程序會(huì)根據(jù)服務(wù)端傳來的數(shù)據(jù)，執(zhí)行相應(yīng)的操作

獲取系統(tǒng)信息
使用GetVolumeInformation，GetLogicalDriveStrings，GetDiskFreeSpaceEx，GetDriveTypeA等API獲取磁盤相關(guān)信息

截屏
使用GetDesktopWindow，GetDC獲取設(shè)備上下文，GetSystemMetrics獲取主屏寬高，CreateCompatibleDC，CreateDIBSection，SelectObject創(chuàng)建位圖，SetRect，BitBlt重寫位圖實(shí)現(xiàn)截屏功能

開啟攝像頭
創(chuàng)建線程并使用capGetDriverDescription，capCreateCaptureWindow獲取攝像頭信息，之后使用IsWindow，SendMessage實(shí)現(xiàn)攝像頭監(jiān)控，使用ICSendMessage，
ICSeqCompressFrameStart壓縮捕獲的視頻數(shù)據(jù)，后續(xù)發(fā)送給服務(wù)端

監(jiān)控鍵盤輸入
先寫了一個(gè)完整的窗口程序包括注冊窗口類，創(chuàng)建窗口，刷新窗口以及窗口回調(diào)函數(shù)，在窗口回調(diào)函數(shù)中，使用GetForegroundWindow監(jiān)控最前端的窗口并獲取窗口輸入框文本，使用GetKeyState獲取按鍵狀態(tài)，最后將獲取的輸入數(shù)據(jù)寫入C:Windowswininfo.dat

之后會(huì)有個(gè)線程讀取wininfo.dat并發(fā)送給服務(wù)端

錄音
建立線程，在線程中使用waveInGetNumDevs，waveInPrepareHeader，waveInOpen，
waveInStart打開錄音設(shè)備，錄音后保存在文件中并發(fā)送到服務(wù)端

遠(yuǎn)程調(diào)用cmd
使用CreatePipe創(chuàng)建匿名管道，然后創(chuàng)建cmd.exe的進(jìn)程，用管道完成進(jìn)程間的通信(因?yàn)檫h(yuǎn)控端只能控制這個(gè)進(jìn)程需要管道與本進(jìn)程外的進(jìn)程通信)

遠(yuǎn)程關(guān)機(jī)
設(shè)置shutdown的權(quán)限后，調(diào)用ExitWindowsEx實(shí)現(xiàn)遠(yuǎn)程關(guān)機(jī)

下載程序并執(zhí)行
調(diào)用火狐或者IE之類的瀏覽器，打開特定的網(wǎng)頁(網(wǎng)址由參數(shù)給定)，然后InternetOpenUrlA下載，InternetReadFile讀取下載數(shù)據(jù)，使用WriteFile寫入文件，最后CreateProcess創(chuàng)建進(jìn)程運(yùn)行下載文件

清空系統(tǒng)日志
使用OpenEventLogA，ClearEventLogA清理系統(tǒng)日志

開啟IE瀏覽器
打開注冊表” HKEY_CLASSES_ROOTApplicationsiexplore.exeshellopencommand”獲取value，即得到IE的完整路徑，然后CreateProcess創(chuàng)建進(jìn)程運(yùn)行

獲取所有進(jìn)程ID
CreateToolhelp32Snapshot創(chuàng)建進(jìn)程快照，Process32First，Process32Next遍歷進(jìn)程然后獲取進(jìn)程信息包括進(jìn)程名進(jìn)程ID發(fā)送給服務(wù)端

獲取輸入框文字
使用EnumWindows配合WindowText枚舉所有窗口并獲得編輯框文字，然后直接發(fā)送給服務(wù)端

開啟服務(wù)
使用OpenSCManagerA，OpenServiceA，StartServiceA以及CloseServiceHandle開啟任意服務(wù)

寫注冊表
寫注冊表：

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTermService
Value：Start=2
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
Value：Keeprasconnect=1
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal Server
Value：Fdenytsconnect=0
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerLicensing Core
Value：Enableconcurre=1
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTermServiceParameters
Value：Servicedll=%SystemRoot%system32termsrvhack.dll

彈窗
使用MessageBox彈窗

控制執(zhí)行Userinit.exe
枚舉系統(tǒng)進(jìn)程，當(dāng)不存在explorer.exe是，調(diào)用cmd執(zhí)行Userinit.exe

遠(yuǎn)程關(guān)閉資源管理器
枚舉系統(tǒng)進(jìn)程關(guān)閉explorer.exe資源管理器

該樣本是一個(gè)遠(yuǎn)控木馬，兩個(gè)快捷方式是為了釋放文件到C盤并且添加注冊表啟動(dòng)，核心的木馬功能代碼隱藏得很深，需要加載nvwsrds.dll釋放運(yùn)行nvwimg.dll，然后在nvwimg.dll中加載temp數(shù)據(jù)解密到內(nèi)存然后跳轉(zhuǎn)到解密后的代碼區(qū)域。在核心木馬代碼中首先非常隱蔽的獲取了遠(yuǎn)控端的IP地址然后與之建立套接字，再開啟線程接收遠(yuǎn)控端發(fā)來的指令從而執(zhí)行對應(yīng)的操作，最后還開線程清理系統(tǒng)常見的殺毒軟件進(jìn)程從而實(shí)現(xiàn)長久駐留！

該木馬實(shí)現(xiàn)的功能有：獲取本機(jī)系統(tǒng)信息(包括磁盤類型，磁盤容量，文件屬性，系統(tǒng)版本，本地時(shí)間等)，截取當(dāng)前屏幕，開啟攝像頭，監(jiān)控鍵盤輸入，錄音，遍歷本地可執(zhí)行文件的所有模塊(module)，遠(yuǎn)程調(diào)用cmd，遠(yuǎn)程關(guān)機(jī)，遠(yuǎn)程下載任意文件到本機(jī)，清空系統(tǒng)日志，打開IE瀏覽器，寫注冊表關(guān)鍵位置，創(chuàng)建可執(zhí)行文件并運(yùn)行，發(fā)送本機(jī)所有進(jìn)程名及進(jìn)程ID，枚舉所有窗口程序的輸入框獲取輸入文字，開啟任意服務(wù)，獲取特定進(jìn)程的空閑時(shí)間，彈窗，遠(yuǎn)程執(zhí)行Userinit.exe，遠(yuǎn)程關(guān)閉資源管理器explorer.exe