一、   樣本信息
1.     樣本類型：竊密
2.     樣本大小：540kb

. 二、   簡介
該樣本是針對windows系統(tǒng)盜取ftp,瀏覽器，郵箱賬號密碼的竊密木馬
三、   詳細分析/功能介紹原始文件：
該樣本采用vb編寫，但vb其實是一個loder用于解密加載真正的惡意模塊。分析如下：
運行后首先創(chuàng)建一個掛起狀態(tài)的傀儡進程
 
                              
使用ZwWriteVirtualMemory將惡意代碼寫入到剛創(chuàng)建的傀儡進程中,之后交由傀儡程序執(zhí)行惡意代碼
 

寫入的惡意代碼為一個Pe文件
 

該模塊經(jīng)過分析確定為f竊密木馬，會嘗試竊取瀏覽器/FTP/郵箱賬戶密碼，下載執(zhí)行exe文件，具體分析如下：

Api獲取：
樣本的api函數(shù)通過調用sub_4031e5函數(shù)獲取，交叉引用可見有兩百余處引用，動態(tài)一個個調試效率太慢，所以使用IDA+od腳本將api函數(shù)注釋出來。
 

可以通過ida腳本將每次解密的參數(shù)找出，之后使用od腳本push 這些參數(shù)，call 4031e5獲取api。再通過ida腳本將api注釋到ida中。
Ida python查詢參數(shù)腳本如下：
 

Od部分腳本：
 

Ida注釋腳本：
 

腳本運行成功后，可見所有的api全部注釋與ida中，增快了靜態(tài)分析的效率
 

功能行為
運行后，首先通過獲取guid創(chuàng)建互斥，保證只有一個實例運行。
 


之后開始從FTP,瀏覽器，郵箱竊取賬號信息：
Chromium:
Chromium家族的瀏覽器將登錄信息存儲在名為“LoginData”或“Web Data”的文件中，樣本通過硬編碼路徑，通過字符串”password_value”，“username_value”和“original_url”獲取這些文件中的賬戶信息：
 
 



Chromium家族的瀏覽器包括ComodoDragon，MapleStudio，Chrome，Nichrome，RockMelt，Spark，Chromium，Titan，Torche，Yandex，Epi，CocCoc，Vivaldi，Comodo Chromodo，Superbird ，Coowon，Mustang，360， CatalinaGroup Citrio，Chrome SxS，Orbitum，Iridium，Opera


firefox：
firefox家族將賬戶信息保存在signons.sqlite，logins.json，prefs.js中，樣本通過讀取這些文件獲得賬戶信息：

Firefox家族瀏覽器包括Firefox，IceDragon，Safari，K-Melon，SeaMonkey，Flok，Thunderbird，BlackHawk，Postbox，Cyberfox,Pale ,Moon,waterfox,Lunascape.
 


ftp:
通過讀取ftp軟件的ini\ xml\dat文件獲取用戶賬戶信息：




ftp包括TPBox/NppFTP/EasyFTP/Sftp/xftp/StaffFTP/BlazeFtp/DeluxeFTP等
 
 




郵箱：
通過讀取郵箱的特定文件獲取用戶用戶信息：


郵箱包括outlook/FossaMail/Postbox/Foxmail等
 
 



其他軟件：
獲取包括Automize\fullsync\ExpanDrive\PuTTY等工具用戶信息：



上傳獲取的賬戶信息
 
將獲取的計算機用戶名，用戶信息，屏幕大小以及獲取到的各種軟件賬戶信息發(fā)送到operco****/******/fre.php
 


拷貝自身到%appdata%下，并設置文件屬性為隱藏,刪除自身
 

嘗試從服務器獲取下載鏈接。下載其他可執(zhí)行文件執(zhí)行