zbot木马分析

木马属于zbot木马家族，并且此木马的免杀做的非常好。能过很好的逃过杀软的检测,而此木马对自己进行了很好的保护，经过了三个阶段才将自己释放出来。并添加了开机自启动。

木马主要的四个阶段：
0x01:释放样本到临时文件夹，并启动

0x02:释放文件到C:\Documents and Settings\Administrator\Application Data\目录，并且生成文件，设置开机自启动，然后启动释放样本。

0x03:对进程除CSRSS.EXE以外全部注入，会挂钩很多函数，然后进行恶意行为

0x04:生成批处理文件，对临时文件中释放的文件和自身进行删除
0x01
原始文件信息
文件名：FILE.exe
文件大小：488K
编写语言：C#

此样本是初始样本，并且外壳是C#，经过反编译发现，这个外壳只是为了躲避杀毒软件。
并将资源文件解密出来放到临时文件夹，然后启动此释放文件。

0x02
临时文件夹文件信息
文件名：File.exe
文件大小：138K
编写语言：Microsoft Visual C++ 7.0
主要行为
1. 在将释放的文件启动后。将会读取自身并且采用多态变形技术释放一个文件到C:\Documents and Settings\Administrator\Application Data\nopin 下。由于样本使用了多态变形技术，所以导致每次母体和样本都不一样。这样会使传统的杀毒软件很难进行查杀，而很多专杀工具也将失效。

2．通过注册表将木马设置为开机自启动。

0x03
自启动文件信息
文件名：igpif.exe
文件大小：138K

编写语言：Microsoft Visual C++ 7.0

由于样本使用了多态变形技术，所以导致每次母体和样本都不一样。这样会使传统的杀毒软件很难进行查杀，而很多专杀工具也将失效。

主要行为：
1. 查找进行注入，然后进行注入钩取

2．在遍历进程中，打开进程，发现没有权限时，提升权限

3这里以注入explorer来看看木马的注入，通过openprocess，获取句柄，然后通过WriteProcessMemory来想进程写入代码。

最后通过CreateRemoteThread来远程开启线程

4进入注入的远程线程函数，可以发现木马会比较指定注入的是什么程序，比较的进程有

dwm.exe
taskhost.exe
taskeng.exe
wscntfy.exe
ctfmon.exe
rdpclip.exe

5.当比较是explorer时，会检测是否有一个数据文件，如果没有，则创建一个，这个文件可能是木马的配置文件

6关闭IE的反钓鱼过滤器

7通过注册表来清空Cookies ,清空Cookies的主要目的是黑客钩取了很多网络函数，在清空以后受害者会再次输入密码账号。黑客达到盗号的目的

\Internet Explorer\Privacy\CleanCookies

8程序会通过下面的注册表减修改IE的安全设置

修改的设置 有允许 Internet Explorer Web 浏览器控件的脚本编写
允许网页为活动内容使用受限制的协议
禁止使用弹出窗口阻止程序 **
并强制设置IE和regsvr32.exe使用的浏览器版本是IE8
9程序钩取很多函数，里面包括很多网络、消息函数，用来截取信息

钩取方法。以HTTPsendrequest为例
通过获取报文

然后脱钩下面是跳转表

10网络分析，在进行网络连接的时候，由于没有禁止防火墙，会弹出提示框。

程序会循尝试连接www.dnkmktweb.net/Bz/config.bin

0x04
最后会生成一个批处理文件，对原有文件进行删除