关于一例网吧盗号木马的样本分析

首先，该程序运行时机较早，执行结束后会自动删除自身，制造无痕迹假象。

通过静态分析可以看到一些服务器ip，表明具有网络请求的代码。

抓包后得到以下地址（部分可能已失效）：

通过静态网址字符的引用查到网址使用地址，程序非常狡猾。

在对服务器进行请求之后得到密文A。

密文A首先是经过gzip算法进行解压，再使用AES-CBC算法解密 (以PKCS5Padding 模式进行填充)

Key->ZNn5Lpsf1OeaD8XaQ+x8Bcxu4cs+rbq0Wrci/W6OKiI=

Iv->N/LML3k/e/kFv1/NobLfCw==

这里把每个请求都解密，查看其内容。

上面一共有4个网址的访问，作用有两个：

第一个是获取到"安全保护.exe"。

第二个获取到 

8,1,2,1,85463,06bfab7319ab4587855564d77061111a| ,其中

 8,1,2,1,85463 应该是木马下发时所使用的参数。

比如指定这里是dll还是exe,启动方式等等，关键信息是

06bfab7319ab4587855564d77061111a 。

其会将解密后的一个类似文件哈希的信息与

"http://*.*.*.221:5000/fdsakl/"拼接获取第三个和第四个，或更多网址。

程序1分析：

程序1在分析过程中是没有变过的。

程序的下发执行方式都是以shellcode+pe文件做shellcode执行，然后再执行实际pe文件。

比如程序1，在调用网络api的程序获取到解压后的请求数据之后就会执行到这里的shellcode。

将实际的pe文件提取出来对其进行深入分析。

首先看静态字符串信息

通过上面的唯一网址字符串的引用 http:// *.*.* .130:9122/reqwrre 找到有一个明显是枚举窗口的动作，并且获取窗口标题和获取机器mac地址的操作，并且还会将title发送走。

看得出来是检查窗口标题，然后与这些进行对比。如果存在就发送回执请求。

程序2分析：

程序2经观察追踪，驱动程序会持续更新，目的为增强其攻击和对抗能力。

静态分析发现大量特征字符串，包括查询IP的网址、token关键词等。其主要工作流程如下：

进程打开后就开始循环获取wegame的进程id‘；

释放驱动；

安装驱动；

读取token段；

这里右下角就是包括qq号和登录token的栈空间

接着获取机器的外网ip

然后将获取到的token发送给后台服务器

至此可知，盗号的程序十分简单粗暴。通过特征码定位,扫描wegame内存获取token。

直接找关键函数；

注册注册表回调，也就是使用注册表api进行与驱动层进行通信。

原理就是盗号程序构造特定的参数调用注册表操作函数，在内核中他的系统回调就可以收到。

如果收到是自己的信号，也就是构造的特定参数的校验通过,就可以开启下一步动作。

进入Function(也就是注册的注册表回调的处理函数)，可以看出是一个Mdl读写驱动。

至此，该木马分析结束。

fipcpisl.dll 
MD5:4d9fd6c0d4b276e54456e09517e48234

本次分析表明，该木马攻击链复杂且具备驱动级攻击能力，极大地增加了检测与防御难度。

玄武安全卫士在此提醒广大网吧从业者及用户：

1.加强环境防护：网吧等公共上网环境应部署具备主动防御能力的安全软件，重点关注异常驱动加载等内核级恶意行为，从源头遏制此类威胁。

2.提升个人警惕：用户应为重要账号开启二次验证，即使Token被盗也能有效阻止登录。

3.选择专业安全产品：建议安装并及时更新玄武安全卫士，其内置的防御引擎和内核行为监控模型，能够有效识别和拦截此类复杂木马，保护网吧数字安全。

推荐各位网吧业主使用玄武安全卫士，这是一款专为网吧与电竞酒店等公共上网环境设计的安全防护软件，专注于防盗号和反外挂功能，因其轻量、高效的防御能力受到好评。

现在提供15天免费试用，欢迎联系网维技术人员进行安装试用。