背景

前几天，在某社群中看到有用户往社群共享盘中上传一个名称为协议微信加好友的应用软件，并且在社群中宣称可以无限加好友和不需要通过对方确认就可以直接加好友。这种软件名称和宣传，从个人角度来看，应该就是个属于用钓鱼或远控的恶意软件。出于好奇心就下载了这个软件，并对这个软件进行了功能分析，也就有了这篇文章。

基础分析

（切记：对未知来源和未知风险的软件不可直接在真机环境分析，上虚拟机！）

拿到样本后先通过杀毒软件直接查杀下，先对软件进行辨别下，一些病毒样本是杀毒软件已能查杀识别出的不安全的风险软件。

Trojan/GameHack.ct：把它归类为木马病毒，这类病毒一般是通过网络或系统漏洞进入到系统并进行隐藏，破坏系统或正常软件的安全性，向外泄露用户的隐私信息。通过下图 ExeInfo Pe 可以很直观看到，该样本不是一个正常的 PE 结构，因为这个 PE 工具第一个区段竟然是 .data（数据区段），正常情况下第一个区段是 .text（代码区段）。结合后面的分析，这个样本是正常的 PE 文件，只不过是将 .text 区段修改成为 daima 区段。

通过 CFF Explorer 工具分析 该样本中的 PE 结构和该样本的依赖模块，发现该样本就是一个正常的 PE 文件，这个样本也并没有依赖样本作者自己实现或者第三方的 dll 模块，都是依赖系统模块进行实现的。

通过 Resource Hacker 资源分析工具 分析了该样本新增了一个自定义的 AAAA 资源数据，正常情况下新增的资源数据都是用于存放要释放的 exe 应用程序或者 dll 模块。

功能分析

通过前面的基本数据的分析，对样本有了大概的了解，接下来就结合 IDA 工具和 ollydbg 工具分析下该样本的实际功能。结合样本的分析，这个微信协议加好友，仅仅是一个通过伪造成为微信图标的加载器，真正的木马病毒功能在于从样本中释放出来的应用程序。下面就进行详细的功能分析。

通过上图的 IDA 中伪代码分析 这个样本的 wWinMain 函数也就是样本的入口函数，发现这个样本的整个函数流程也比较简单，就是通过调用系统函数 FindSourceW 查找自身应用中的 AAAA 的资源部分，找到这部分资源后将资源释放到系统的 TEMP 临时目录中，并进行调用 SellExecuteW 系统函数启动所释放的应用程序。启动后就采用 bat 文件方式进行自删除应用。

上图是该样本中实现自删除应用程序的功能，首先往 system32 目录下通过调用 CreateFileW 函数创建一个 hfblddel.bat 的文件，这个文件的内容就是判断自身样本是否还存在，如果存在就直接 del 掉，最后通过调用 ShellExecuteW 函数采用静默的方式执行 bat 文件的内容。

上图是通过启动样本后释放出来的应用程序：微骑兵配套版本、libcurl。接下来就是对这两个样本的实际功能分析。

通过实际对微骑兵配套版本的样本分析（应用程序的签名信息；比对真实应用的文件大小和大概功能），微骑兵配套版本的应用程序实际上就是微信的一个 2.7.1 旧版本的安装包，并没有做任何任务修改。这个病毒样本也应该就是借助微信应用程序 2.7.1 版本的某个漏洞做对应的所谓无门槛加好友功能。

Libcurl 样本分析

这个 libcurl 程序也是通过基于 MPlayer 这个播放器进行修改伪装的恶意软件，这个应用程序的样本也没做好免杀功能，病毒查杀软件一扫描就被识别出来了，这么多套路下来免杀没做好也是个废材。并且这个应用程序也都没做样本的加壳保护，所以分析起来就没有门槛了，仔细分析下，这些所谓的病毒功能都一览无余了。

通过上图 IDA 的流程图中可以看出，该样本功能还是相对比较简单的，但这个也是假象，这个样本的实际功能还是比较强大的，它会通过调用 CreateToolhelp32Snapshot 创建系统快照，然后查找 qq.exe 进程对其进行实现注入功能，所以也是个注入型的木马病毒。

这个样本中采用 TCP 网络通信方式和服务端 103.229.124.168（动态的 IP，香港的 IP 地址）进行通信，这个通信目标就是通过收集运行环境中的敏感数据上传到服务器中。有了这些敏感信息这个攻击者就可以进行售卖敏感信息或者直接利用敏感信息进行二次攻击了。

总结

1、微信加好友应用程序是个加载器，这个程序启动的时候会在临时目录下释放两个文件，等释放和启动两个文件后，这个程序就自动退出了。

2、微骑兵这个程序是微信正常旧版本的安装程序，就是为了复现旧版本的微信无限加好友漏洞。

3、Libcurl 这个真正病毒功能的应用程序，这个程序有 tcp 的网络通信，这个程序除了操作微信外，还有对指定的程序进行遍历和注入 qq.exe 功能，属于注入类型的木马。当然它也还有一些其他功能，由于篇幅有限，这里就不进行详细展示了。

切记，对于未知来源和未知安全性的软件不可因为好奇心去下载点击，现在的网络钓鱼手段之所以能成功，一个很重要的因素就是借助人的好奇心。所以好奇心是能害死猫的。虽然这个样本的免杀功能没做好，没有躲过杀毒软件的查杀，但是总有那些不安装杀毒软件的用户吧。另外，对于这种不确定安全的软件的分析，还是得在虚拟机环境或者专门用于样本的分析环境中对样本进行分析。样本的分析可以重点关注于样本的构成部分、样本的运行时的动态调试具体功能分析、样本的文件读写行为、样本操作注册表行为（常用于自启动行为）、样本的网络通信行为。通过这几个行为的分析基本可以分析出样本的大部分功能。

来源：小道安全

排版：老李