“百家集团变种木马”运行原理简要分析 – 作者:浪子_三少

         近期截获一款木马，从它的签名和域名分析特征来看和之前其他安全公司分析的木马同属于“百家集团木马”，只是行为有所改变，变得更加隐蔽，同时也绑定并且通过网络下发的途径在受害者机器上运行相应的危害性的木马，下面就对此木马做简要分析。 

一、签名与访问域名的作者 

    

               木马域名的作者：

 

 

         二、运行原理分析

               1.初始化会释放两个内存dll

              

内存地址:

(1) byte_42B36D

       

(2) byte_42C775

 

2.分别获取两个内存dll的接口保存起来方便调用

     

它的接口都是用接口号方式获取，下面是提取出来的两个dll

 

其中一个内存dll有个10个导出接口

      

另外一个内存dll，有22个接口

 

2.执行dll 内的函数

    看运行的虚函数指针表

  

           初始化完成后就进入的0x401000,里面被TMD虚拟机虚拟代码，0x44E157函数虚拟加壳了。

 
一开始会获取木马当前的版本：

执行完毕后，跳出虚拟机后执行了会执行到地址401131地址函数

 

然后继续执行了2号模块的1号接口初始化网络

然后接着继续执行2号模块的3号接口

 

 

下面2号模块的3号导出接口

从IDA下看到函数功能如下

该线程会从服务器请求证书key

然后继续进入虚拟机,对该数据进行操作，操作结束后，再次跳出虚拟机后就会执行2号模块的4号接口

注意这时的接口参数中有个木马域名: www.xxxxxx.cn

 

4号接口的功能大概如下，会在本地开启一个本地网络服务器

 

这个函数开始bind(),绑定本地端口0.

接着就会链接www.xxxxx.cn的服务器

 

Connect  服务器的443端口

 

接着执行5号接口，该接口会向服务器发送数据

发完数据后，然后会执行6号接口，6号接口是个关闭socket

 

注意的是3号接口线程会反复从服务器接口数据，控制木马的行为

总结下来，该木马大致行为如下：

 

来源：freebuf.com 2018-05-24 20:38:57 by: 浪子_三少