恶意联网程序的逆向分析

扫一扫关注公众号，长期致力于安全研究

前言：针对联网程序的逆向分析

首先查看是否加壳。壳卒~

        查看导入表发现几个有意的函数，这些函数都是一些实现网络功能的API

InternetReadFileInternetCloseHandleInternetOpenUrlAInternetOpenA

为了进一步验证，用nc和apateDNS监听看一下，当恶意程序运行之后，成功看到了

GET /cc.htm HTTP/1.1User-Agent: Internet Explorer 7.5/pmaHost: www.practicalmalwareanalysis.com

既然可以确定这是一个联网的恶意程序，那就用IDA分析一下。

进入主函数之后，首先检查是否存在可用的internet连接

    当存在可用的inter连接后，进入401040这个函数里面，跟进去继续分析

    可以看到执行了InternetOpenA和InternetOpenUrlA这两个api，

    InternetOpenA设置User-Agent字段

    InternetOpenUrlA 用来打开一个句柄

    通过push传参的注释，可以清楚的看到User-Agent和URL内容

    继续分析，在代码最后有一个cmp，用来判断是否执行成功。

    (如果执行失败就跳到左下角的地方了，直接close关闭句柄)

    当执行成功的时候，就会跳到40109D处，开始执行InternetReadFile函数

    而参数lpBuffer就是保存内容，之后就在4010E5处开始比较前几个字节是否等于<!--，如果不相等就跳出去。

    之返回main函数，进行printf输出打印的%c就是html注释中解析的字符

最后将0xEA60 push进去了，执行了Sleep。

该程序检查internet连接是否可用，之后下载了一个<!--开头的网页，这是HTML注释开头，这种通过注释隐藏指令的方法通常被攻击者利用,而普通用户打开的时候看起来就像一个正常的网页。

下方扫一下扫，即可关注