一、样本概述:
该样本为远程控制木马,木马程序会通过层层利用、读取加密远控代码等方式想方设法的逃避杀软的查杀,并试图长期驻留用户电脑进行远程控制。
经分析样本母体 dsf.exe会释放子体文件Irsetup.exe,子体文件Irsetup.exe再释放了BFVudateM.dll文件和暴风影音文件 twunk.exe等文件;通过twunk.exe执行BFVudateM.dll,BFVudateM.dll再去读取并解密真正加密的远控代码文件 bfvupdate.dat,至此就可以远程控制用户电脑;最后还会搜集用户电脑相关信息,并发送至木马作者服务器。
二、样本流程图概述
三、详细分析
1、BFVUpdateM.dll分析
1.1 通过CreateFileA和ReadFile两个函数,打开bfvudate.dat文件并读取加密的代码
1.2 通过OD动态调试分析,bfvudate.dat解密后其为PE文件,且为远控的主要代码
1.3 对zwCreateProcessEx进行inline Hook,写入自己的代码
2、Dump出来的bfvudate.dat解密分析
2.1 创建一个名为“fuck”的互斥体,防止重复运行
2.2 通过修改注册表的方式,将twunk.exe设置为开机启动
2.3 打开regedit.exe进程,并进行提权
2.4 通过WriteProcessMemory函数对regedit.exe进行Hook
2.5 试图尝试通过taskkill.exe结束金山进程
2.6 然后进行一系列远程控制操作
2.7 最后会搜集用户电脑相关信息,并通过send发送出去
四、总结
此远控木马和最近非常流行的白加黑远控木马存在较大的差异,最近发现的白加黑远控最大的特点就是利用了系统文件rundll32.exe文件外加一个黑的dll文件,在传播方面至少需要三个文件,分别是rundll32.exe、黑DLL文件、黑dat文件。但是此远控木马只有一个exe文件,并且利用了暴风有效数字签名的文件;其它文件都是通过释放的方式添加到用户电脑,这在传播方面要较白加黑方便很多。
目前电脑管家成功的发现了该病毒,让您的电脑处于健康状态。
