這個假微信軟件有點套路

背景

在某社群中看到有用戶網社群共享盤中上傳一個名稱為協議微信加好友的應用軟件，并且在社群中宣稱可以無限加好友和不需要通過對方確認就可以直接加好友。

這種軟件名稱和宣傳角度，從個人角度來看應該就是個屬于用釣魚或遠控的惡意軟件。

出于好奇心就進行下載這個軟件，并對這個軟件進行做功能分析，也就有了這篇文章。

基礎分析

（切記：對未知來源和未知風險的軟件不可直接在真機環境分析，上虛擬機）

拿到樣本后先通過殺毒軟件直接查殺下，先對軟件進行辨別下，一些病毒樣本是殺毒軟件已能查殺識別出的不安全的風險軟件。

Trojan/GameHack.ct:它歸類為木馬病毒，這類病毒一般是通過網絡或系統漏洞進入到你的系統并進行隱藏，破壞系統或正常軟件的安全性，向外泄露用戶的隱私信息。

通過下圖ExeInfo Pe可以很直觀看到，該樣本不是一個正常的PE結構，因為這個PE工具第一個區段竟然是.data(數據區段)，正常情況下第一個區段是.text(代碼區段)。

結合后面的分析這個樣本是正常的PE文件，只不過是將.text區段修改成為daima區段。

通過CFF Explorer工具分析 該樣本中的PE結構和該樣本的依賴模塊，該樣本就是一個正常的PE文件，這個樣本也并沒有依賴樣本作者自己實現或者第三方的dll模塊，都是依賴系統模塊進行實現的。

通過Resource Hacker資源分析工具，分析了該樣本新增了一個自定義的AAAA資源數據，正常情況下新增的資源數據都是用于存放要釋放的exe應用程序或者dll模塊。

功能分析

通過前面的基本數據的分析，有了對樣本有了大綱的了解，接下來就通過結合IDA工具和ollydbg工具分析下該樣本的實際功能。

結合樣本的分析，這個微信協議加好友，僅僅是一個通過偽造成為微信圖標的一個加載器，真正的木馬病毒功能在于從樣本中釋放出來的應用程序。

下面就進行詳細的功能分析。

通過上圖的IDA中偽代碼分析，這個樣本的wWinMain函數也就是樣本的入口函數，這個樣本的整個函數流程也比較簡單，就是通過調用系統函數FindSourceW查找自身應用中的AAAA的資源部分，找到這部分資源后將資源釋放到系統的TEMP臨時目錄中，并進行調用SellExecuteW系統函數進行啟動所釋放的應用程序。啟動后就采用bat文件方式進行自刪除應用。

上圖是該樣本中實現自刪除應用程序的功能，首先往system32目錄下通過調用CreateFileW函數創建一個hfblddel.bat的文件，這個文件的內容就是判斷自身樣本是否還存在，如果存在就直接del掉，最后通過調用ShellExecuteW函數采用靜默的方式進行執行bat文件的內容。

上圖是通過啟動樣本后釋放出來的應用程序：微騎兵配套版本、libcurl。

接下來就是通過對這兩個樣本的實際功能分析。

通過實際對微騎兵配套版本的樣本分析(應用程序的簽名信息；比對真實應用的文件大小和大概功能)，微騎兵配套版本的應用程序實際上就是微信的一個2.7.1舊版本的安裝包，并沒有任何進行做任務修改。這個病毒樣本也應該就是借助微信應用程序2.7.1版本的某個漏洞進行做對應的所謂無門檻加好友功能。

Libcurl樣本分析

這個libcurl程序也是通過基于MPlayer這個播放器進行修改偽裝的惡意軟件，這個應用程序的樣本也沒做好免殺功能，病毒查殺軟件一掃描就被識別出來了，這么多套路下來免殺沒做好也是個廢材。并且這個應用程序也都沒做樣本的加殼保護，所以分析起來就是沒有門檻了，就是仔細分析下，這些所謂的病毒功能都一覽無余了。

通過上圖IDA的流程圖中可以看出，該樣本功能還是相對比較簡單的，但這個也是假象，這個樣本的實際功能還是比較強大的，它會通過調用CreateToolhelp32Snapshot進行創建系統快照，然后進行查找qq.exe進程對其進行實現注入功能，所以也是個注入型的木馬病毒。

這個樣本中采用TCP網絡通信方式進行和服務端103.229.124.168(動態的IP，香港的IP地址)進行通信，這個通信目標就是通過收集運行環境中的敏感數據上傳到服務器中。

有了這些敏感信息這個攻擊者就可以進行售賣敏感信息或者直接利用敏感信息進行二次攻擊了。

總結

1、微信加好友應用程序是個加載器，這個程序啟動的時候會在臨時目錄下釋放兩個文件，等釋放和啟動兩個文件后，這個程序就自動退出了。

2、微騎兵這個程序是微信正常舊版本的安裝程序，就是為了復現舊版本的微信加無限加好友漏洞。

3、Libcurl這個真正病毒功能的應用程序，這個程序有tcp的網絡通信，這個程序除了操作微信外，還有對指定的程序進行遍歷和注入 qq.exe功能, 屬于注入類型的木馬，也還有一些其他功能由于篇幅有限就沒在進行詳細展示了。

對于未知來源和未知安全性的軟件不可因為好奇心去下載點擊，現在的網絡釣魚手段能成功一個很重要的就是借助人的好奇心。所以好奇心是能害死貓。雖然這個樣本的免殺功能沒做好，沒有躲過殺毒軟件的查殺，但是總有那些不安裝殺毒軟件的用戶吧。

對于這種不確定安全的軟件的分析，還是得在虛擬機環境或者專門用于樣本的分析環境進行對樣本的分析。樣本的分析可以重點關注于樣本的構成部分、樣本的運行時的動態調試具體功能分析、樣本的文件讀寫行為、樣本操作注冊表行為(常用于自啟動行為)、樣本的網絡通信行為。通過這幾個行為的分析基本可以分析出樣本的大部分功能。