一个驱动级国外”收集机器信息”木马分析报告

样本…

MD5：af1bdaafafafad6e523c9663c89f17b0

这个木马运行以后，会把自身复制到C:\Program Files\Common Files\目录并命名为svchost.exe。同时感染系统的记事本程序或者系统游戏扫雷程序并拷贝到系统临时目录%Temp%，文件名是随机生成的。这个被感染的程序运行后可以执行木马的功能。

木马程序还会释放一个驱动文件到系统的驱动目录（C:\Program Files\Common Files\+随机驱动文件名），文件名为随机。这个驱动会强行隐藏木马复制的svchost.exe这个程序，并且把系统设置改为不显示隐藏文件，且无法打开查看隐藏文件的选项。并且任务管理器、注册表被禁用。

只能通过Ring0环的工具才可以看到……

这个木马运行以后，会循环遍历系统中的EXE可执行程序。然后通过加节的方式对其进行感染。木马把被感染的EXE程序入口点做了修改，被感染后的程序入口处代码均被改变，直接是病毒体的代码，并且指令都被做了加密处理。

某程序感染后的入口特征

某程序感染前的入口

并且木马会把代码注入到系统桌面进程Explorer.exe里去，然后在UDP6316端口启动本地监听，待命等待黑客远程连接。

木马会调用CMD程序来执行一系列系统命令，其中包（ifconfig.exe ,systeminfo.exe ,netstat.exe ，dir）等,通过这些命令调用，可以获取得系统的所有信息详情，包括系统的网络连接信息、系统详细信息以及系统打补丁的信息、以及遍历系统所有的文件。

同时在系统临时文件夹（%temp%）里生成一个文本文件alldetails.txt，把上面获取的系统各种信息写的这个文件夹里。

木马会把搜集到的所有的计算机的各种信息以加密的方式复制到

C:\Program Files\Common Files\log\(机器名)目录下

通过本地监听木马的网络连接，发现它连接以下地址GET请求数据。

[您的查询]:lz.zp.ua => 194.28.86.22本站主数据:乌克兰

[您的查询]:macedonia.my1.ru => 195.216.243.2本站主数据:俄罗斯

[您的查询]:lpbmx.ru => 217.118.24.97本站主数据:德国

http://o0xo.com /logos.gif?1ad5c0=8793280

[您的查询]:o0xo.com => 62.116.181.25本站主数据:德国

[您的查询]:nexxdigital.com => 66.96.130.50本站主数据:美国

单机检查:

在进程中可以发现使用伪装的svchost.exe来启动,如下图所示:

C:\Program Files\Common Files\svchost.exe

在启动项中可以看到使用的userinit注册表启动项进行启动

总结:

启动项: