Trojan.Backdoor分析

总结:这是一个HTTP的后门,以安装(-in)||移除(-re)||配置(-c)为目的运行此程序时, 必须指定abcd为最后一个参数. 安装时他会把自身拷贝到%SYSTEMROOT%\WINDOWS\system32目录下,并创建一个自启动服务来保证其可持续性. 安装之后, 该后门会从注册表中得到服务配置信息, 并向远程服务器发送HTTP/1.0 GET请求,根据请求的返回值,解析成参数,指导恶意软件的行为--共有五种:SLEEP UPLOAD DOWNLOAD CMD NOTHING.

此五种分别对应的行为是:睡眠指定时间, 连接远程服务器得到内容并保存到本地, 从本地文件读取内容发送到远程服务器, 在本机上执行CMD命令并将结果发送到远程主机, 什么都不做

使用peid查看:

用IDA分析:

下面开始标志位检测, 使用了fs:[0x30]得到了PEB地址,

之后判断processheap中的某个标志:

再之后找到NtGlobalFlag,必须不为0x70:

接下来判断参数个数,根据参数个数不同进行不同操作:

如果参数是一个,那么走左边,否则右边.

左边:调用sub_401100:

在sub_401100中,再次执行了上述的三个判断,过了之后,打开注册表项

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \XPS: 注意Microsoft后有空格

调用成功之后访问名为"Configuration"的项的值

此API成功后返回ERROR_SUCCESS(0)

所以成功后sub_401100返回1,否则返回0

继续:

loc_4035cb调用了:

进入sub_402c40中后:

再次重复了那三个标志位检测,之后:

此循环就是左边支路的最后一个循环,如果这里退出了,那么此次程序执行结束.

可以知道sub_4014B0和sub_402880必须返回0,那么这个循环才能继续下去

进入sub_4014b0:

同样地进行了三个标志位的检测:之后打开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \XPS

访问configuration的值, 值存储在局部数组中,之后把这个值分部分拷贝到a1,a3,a5,a7处,猜想这个值之间有3个空格,那么分成四段,就刚好解析:

设4段值为XX YY ZZ KK

那么接下来的调用就是:

说明kk应该是秒数的字符串,用于指定线程睡眠时间

进入sub_402880后再次进行了标志位检测,之后:

在sub_402650中,v14得到了一个字符串,这字符串用于后边的比较,

可以看出这字符串是个命令,用于选择执行恶意代码:

命令有:SLEEP,UPLOAD,DOWNLOAD,CMD,NOTHING

v14使用了strtok来分割字符串,例如sleep时字符串应该是

"SLEEP 10"

这样v2就是10,atoi将v2转换成整数传入sleep实现了睡眠,同理

UPLOAD命令的格式应该是:UPLOAD port filename

DOWNLOAD命令的格式应该是:DOWNLOAD port filename

CMD命令的格式应该是: CMD port command

上述分隔符asc_40c0d8是一个unicode的空格, asc_40c0bc是一个unicode的"`"符号

接下来走右边

v10是传入的最后一个参数,sub_402d70必须返回非零

进入sub_402d70:

可以知道最后一个参数长度为4,第一个字节的值为97(a),第二个字节的值为98,第三个字节的值为99,第四个字节的值为100, 转换成字符就是abcd,所以最后一个参数必须是abcd

接下来相当于参数1的switch:

如果字符串相等那么_mbscmp返回0,依据这逻辑,最内层括号内应该是argv[1]为"-cc"的情况:

此时参数个数必须为3.

之后调用sub_4014b0从注册表中获取配置字符串并解析

:之后调用sub_403939按格式

aKSHSPSPerS     text "UTF-8", 'k:%s h:%s p:%s per:%s',0Ah输出到控制台

如果argv[1]是"-c",那么参数必须有7个

进入sub_4011D0:

这段代码将argv[2]~arg[5]拼成一个字符串并将注册表中的

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \XPS中Configuration的值设置为拼好的数据.

也就是说-c命令是设置配置的.

如果argv[1]是-re,那么

当参数是3个的时候,此时argv[0]是EXE名,argv[1]是-re,argv[2]是abcd

之后进入sub_402e70:

获取了当前模块完整路径文件名,并将文件名分离出来放入a1中,也就是v8

之后进入sub_4032c0, 这个模块主要就是删除指定服务,删除文件,将其完全移除.

如果参数是4个,那么argv[2]是要移除的服务名

如果argv[1]是-in,那么

当参数是3个,也就是没有指定服务名时,获取模块文件名作为服务名;否则使用指定的服务名来创建服务. 服务名后连接上' Manager Service'

于sub_402f40中, 并将自身拷贝到system32目录下, 初始化configuration的值...

所以-in是安装此恶意程序.