一、   样本信息
1.     样本类型：窃密
2.     样本大小：540kb

. 二、   简介
该样本是针对windows系统盗取ftp,浏览器，邮箱账号密码的窃密木马
三、   详细分析/功能介绍原始文件：
该样本采用vb编写，但vb其实是一个loder用于解密加载真正的恶意模块。分析如下：
运行后首先创建一个挂起状态的傀儡进程
 
                              
使用ZwWriteVirtualMemory将恶意代码写入到刚创建的傀儡进程中,之后交由傀儡程序执行恶意代码
 

写入的恶意代码为一个Pe文件
 

该模块经过分析确定为f窃密木马，会尝试窃取浏览器/FTP/邮箱账户密码，下载执行exe文件，具体分析如下：

Api获取：
样本的api函数通过调用sub_4031e5函数获取，交叉引用可见有两百余处引用，动态一个个调试效率太慢，所以使用IDA+od脚本将api函数注释出来。
 

可以通过ida脚本将每次解密的参数找出，之后使用od脚本push 这些参数，call 4031e5获取api。再通过ida脚本将api注释到ida中。
Ida python查询参数脚本如下：
 

Od部分脚本：
 

Ida注释脚本：
 

脚本运行成功后，可见所有的api全部注释与ida中，增快了静态分析的效率
 

功能行为
运行后，首先通过获取guid创建互斥，保证只有一个实例运行。
 


之后开始从FTP,浏览器，邮箱窃取账号信息：
Chromium:
Chromium家族的浏览器将登录信息存储在名为“LoginData”或“Web Data”的文件中，样本通过硬编码路径，通过字符串”password_value”，“username_value”和“original_url”获取这些文件中的账户信息：
 
 



Chromium家族的浏览器包括ComodoDragon，MapleStudio，Chrome，Nichrome，RockMelt，Spark，Chromium，Titan，Torche，Yandex，Epi，CocCoc，Vivaldi，Comodo Chromodo，Superbird ，Coowon，Mustang，360， CatalinaGroup Citrio，Chrome SxS，Orbitum，Iridium，Opera


firefox：
firefox家族将账户信息保存在signons.sqlite，logins.json，prefs.js中，样本通过读取这些文件获得账户信息：

Firefox家族浏览器包括Firefox，IceDragon，Safari，K-Melon，SeaMonkey，Flok，Thunderbird，BlackHawk，Postbox，Cyberfox,Pale ,Moon,waterfox,Lunascape.
 


ftp:
通过读取ftp软件的ini\ xml\dat文件获取用户账户信息：




ftp包括TPBox/NppFTP/EasyFTP/Sftp/xftp/StaffFTP/BlazeFtp/DeluxeFTP等
 
 




邮箱：
通过读取邮箱的特定文件获取用户用户信息：


邮箱包括outlook/FossaMail/Postbox/Foxmail等
 
 



其他软件：
获取包括Automize\fullsync\ExpanDrive\PuTTY等工具用户信息：



上传获取的账户信息
 
将获取的计算机用户名，用户信息，屏幕大小以及获取到的各种软件账户信息发送到operco****/******/fre.php
 


拷贝自身到%appdata%下，并设置文件属性为隐藏,删除自身
 

尝试从服务器获取下载链接。下载其他可执行文件执行