网银窃贼“TrojanSpy.Banker.mxq”的简单分析资料
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
报告名称:网银窃贼“TrojanSpy.Banker.mxq”的简单分析资料
报告类型:病毒分析播报
编写作者:Coderui
编写日期:2008年01月30日
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
----------------------------------------------------------------------------------
病毒英文名称:TrojanSpy.Banker.mxq
病毒中文名称:“网银窃贼”变种mxq
病毒类型:木马
影响平台:Win 9X/ME/NT/2000/XP/2003
危险级别:★★
开发编译器:Microsoft Visual C++ 6.0
木马病毒主安装程序未经过加壳处理。
文件大小为:97,792 字节
注明:以下“C盘”均为系统盘符。
会创建如下配置或记录文件:
C:\windows\system32\di1.gif
C:\windows\system32\dr1.gif
C:\windows\system32\cookie1.dat
C:\windows\system32\boa1.dat
C:\windows\system32\cs.dat
C:\windows\system32\bb1.dat
C:\windows\system32\ps1.dat
C:\windows\system32\rc.dat
C:\windows\system32\cmds.txt
C:\windows\system32\tns1.dll
C:\windows\system32\alog.txt ->记录盗取的帐号信息。
C:\windows\system32\conf.dat ->配置文件。
C:\windows\system32\ssymman.dll ->是“rtypiclor.dll”的备份文件。
C:\windows\system32\rtypiclor.dll ->随IE启动而加载运行。
安装时留在注册表中的安装记录信息:
[HKEY_LOCAL_MACHINE\SOFTWARE\MRSoft]
"LN"="Y_R[BHGDY�OGG"
"CODIGO"="l%%&UUQ\"#:$$% :#\"#/:.''!:/#$/\"U&V\"/#'j"
"Add"=hex:7c,77,74,70,61,7b,78,62,63,78,7c,74,3f,70,7a,6b
利用将恶意DLL组件程序“rtypiclor.dll”注册为BHO(浏览器辅助对象)的方式,实现随IE浏览器启动加载运行:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
HKEY_CLASSES_ROOT\CLSID\
{221BBF54-3327-4548-9006-84385B1A5840}
{FF1E2A1E-6EF5-4a70-94A2-F4EE96847F8C}
C:\windows\system32\rtypiclor.dll
启用第三方浏览器扩展组件:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
"Enable Browser Extensions"="yes"
后台调用DOS控制台运行程序实现自我删除:
FileName = "C:\windows\system32\cmd.exe"
Parameters = "/c del E:\Coderui\2008-01\20C30E~1\TROJAN~1.MXQ\d.exe >> NUL"
----------------------------------------------------------------------------------
对“rtypiclor.dll”进行分析:
加壳名称:UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
开发编译器:Microsoft Visual C++ 6.0
DLL脱壳后的入口点:0001407C
脱壳前文件大小为:53,248 字节
脱壳后文件大小为:169,984 字节
注明:以下“C盘”均为系统盘符。
病毒记录所盗取机密信息的格式:
************COOKIES************
\drivers\etc\hosts
\file.exe
Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
CLSID\%s
C:\NTDETECT.COM
C:\ntldr
Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
AppData
\Macromedia
%s\%s_skey_%s_%s.zip
pstorec.dll
PStoreCreateInstance
OutlookExpress
Del OE Acc
IE:Password-Protected sites
MSN Explorer Signup
IE Auto Complete Fields
AutoComplete Passwords
Resource: %s
Description: %s
Username: %s
Password: %s
*******PROTECTED STORAGE*******
盗取某些网上银行帐户和密码等信息:
“www3.netbank.commbank.com.au/netbank/bankmain?”
在被感染计算机的后台与如下站点进行通信:
http://megashipping.biz/u.php
http://megashipping.biz/c.php
http://megashipping.biz/test3.php
http://megashipping.biz/ca.php
http://megashipping.biz/nu.php
http://megashipping.biz/sl.php
会将窃取到的信息资料发送到骇客指定的远程服务器站点中或邮箱里。
----------------------------------------------------------------------------------
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
