病毒行为:
1\将资源中的DLL释放到当前目录下
2\设置注册表,将GINA DLL设置为上一步中释放的DLL
DLL行为:
1\在DLL被进程装载时, 装载正常的msgina.dll, 并保存句柄,用于后续调用,保证系统正常运行
2\在hook WlxLoggedOutSAS时, 将第七个参数中的敏感信息保存到文件中.
以下是详细分析:
在资源段中发现一个PE文件.
用IDA查看代码:
此程序先获取了本身的模块句柄,之后传入sub_401080进行操作:
sub_401080中:
将资源段的资源拷贝到了VirtualAlloc申请出来的空间中,并写入到当前目录,文件名为"Msgina32.dll"
返回上一层函数后:
先得到模块全路径文件名并传给Filename,在FileName字符串中查找'\'字符,并将该位置写为NULL,然后将Filename(此时不包括后面的文件名)跟"\msgina32.dll"连接起来,形成完整地路径.
之后将此路径+文件名传入sub_401000:
打开注册表'HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon'将"GinaDLL"的值改为上面构造的文件路径.
这样,以后使用的ginadll就都是这个恶意软件的ginadll了.
接下来查看这个恶意的DLL:
在DLL入口函数中:
这里用LoadLibrary装载了系统目录下正常的msgina.dll, 并将句柄保存在全局函数hLibModule中, 这样可以让自身完成正常的msgina功能.
接下来查看其它DLL的导出函数:
以上函数均为:
将数字3改为1~28,就是分别对应的函数,此函数gina_x()的作用是返回正常msgina.dll的导出序号为x的函数地址.
sub_10001000如下:
用于得到指定函数地址.
这里的大部分函数,均调用了一下正常msgina.dll里的对应功能函数即返回. 除了
WlxLoggedOutSAS
如果v8获得了WlxLoggedOutSAS的函数地址,之后调用此函数,返回值为v9
如果v9==1,说明函数调用成功,此时v7是一个结构体的指针:
所以之后的sub_10001570的参数其实相当于
将这结构体里的4个字符串指针传入了, 在sub_10001570中:
这里得到了日期时间,以及上面说到的4个值,用户名,域名,用户密码,旧的用户密码,都写入到一个名为msutil32.sys的文件中, 另外这文件是在winlogon进程中的,所以创建的文件应该在system32文件夹下.
