一款高级锁机病毒的分析

  见过许多锁机病毒,无非是使用net user命令,修改管理员账户的密码,而密码一般都以固定的字符串保存,所以直接搜索字符串即可看到密码,稍微高级些的加了壳,或是密码加密了,但使用行为分析软件,仍可找到他的锁机密码。
例如使用火眼,或者金山沙箱,又或者一般的HIPS软件,都能检测到病毒对系统的修改,找到密码。
今天有位网友被锁机了,发来病毒样本让我破解,一般破解出密码都是分分钟是事情,我出于好心帮他看了下,步骤如下:
程序是易语言编写的 d3d8.dll 动态链接库,应该是某种游戏的插件,首先查壳,初步断定无壳。就直接用火绒剑搜索dll中的字符串,OD都懒得开。查找net user 结果
发现其中并没有密码,猜想应该是加密或者网络读取了,因为里面有个网址。

懒得分析,扔虚拟机吧。
由于是DLL无法直接运行这里就查询他的导入函数
此dll的main函数是Direct3DCreate8
于是写了个小程序载入此dll。
————–
病毒程序运行后安全软件是会提醒的:
图片

很显然,如果你安装了安全软件,电脑一般不会有事。
此处为了测试病毒的效果,我退出了安全软件。(虚拟机环境测试)

运行后程序只有一个空白窗口,然后弹出两个命令提示符窗口,最后注销了系统,要求输入密码和加什么QQ

看到这里,很显然是一般锁机病毒的套路,加他QQ向他要锁机密码的话他会敲诈你一笔,还不一定给你解锁。
上面有一个代码,猜想应该是通过此代码得到的开机密码。

接着我用沙箱分析软件的行为,发现此软件除了修改系统开机密码,没做其他的坏事。
而且还发现代码和开机密码都是随机的。如图:
图片

此时可知道无法逆向到别人密码了,但我没有放弃,使用神器OD载入分析。

分析过程我就不叙述了,来到此函数:

图片可看到堆栈窗口中的字符串:
0012FA8C   00C5EDC3  ASCII “http://suoji.tk/a/save_reg.asp

0012FAAC   00176148  ASCII “username=bSuxvjuO&email=ydj9T10086&Submit=%CC%E1%BD%BB%D7%A2%B2%E1”

很显然,这里的 username字段是代码,而email字段则是开机密码,后面的Submit是URL编码后的字串,解码后是“提交注册”

访问这个asp看看:
图片
发现是个注册页面,看了下源码,其中的QQ号就是username字段,而锁机密码就是email字段,也就是锁机密码。

由此可猜想,作者通过此asp来保存中病毒人电脑的“代码”与锁机密码,中病毒的人发送“代码”给病毒作者,作者即可通过后台查询到他的锁机密码。

此时我仍没有灰心,有着多年入侵经验的我想了想,那就爆库吧!暂时先不用sql注入,
我们可以看到此页面下面的一行小字“Powerd by 9cool”,可见病毒作者连asp都不会,用的是别人的模板。
访问主站,在下载页面可以直接下载该模板。

接着找到管理入口:admin.asp
默认的管理员密码是 admin
登陆失败,看来作者已经更改了密码,没关系,找到数据库的地址:
data\9coolftp.mdb
发现可以直接下载到数据库!
图片

发现中招的人还挺多的!没错,字段User是“代码”字段mail即是锁机密码。
于是我让那个中招的人发来他的代码,查询到记录,让他把mail字段输入开机密码框,成功解锁!

我辛苦这么久,他居然连句“谢谢”都不说!

最后说下,中此种木马的人往往是因为自己安全意识不够,贪图利益,被木马的糖衣炮弹所诱惑。这种人本就应该受到教训。

开机密码的清除也很简单,WinPE系统一般自带清除密码工具。
U盘制作启动盘也能轻松破解:
http://jingyan.baidu.com/article/d713063501cc2d13fdf475d6.html

作者: Specher

中文网名风生·水起,擅长安卓逆向与开发、Windows软件破解与补丁制作,喜欢IT与电子音乐,热爱运动,追求自由。

发表评论

电子邮件地址不会被公开。 必填项已用*标注