MD5:22e7d357e40460f325efecafac95a0f3

木馬覈心功能**：**

當用戶使用瀏覽器上網時，該木馬會盜取目標機器的淘寶帳戶的訂單資訊，寶貝資訊，經常瀏覽的寶貝，收藏的寶貝，訂單號，支付方式，用戶cookie等等，然後發送到木馬作者的服務器.

基本資訊

詳細分析

複製自身到system目錄下

然後從這裡開始一系列木馬行為

開始準備LSP

利用SPI（服務提供者介面）枚舉協定，為LSP的安裝做準備

獲取LSPGUID

安裝LSP

安裝位置是c:\windows\system32Acceleratex86.dll，下次重新瀏覽器流覽網頁的時候就會被加載了

對應IDA

安裝之後程式睡眠退出

另一條分支分析

這裡檢測木馬的dll是不是被注入到瀏覽器了

木馬工作的時候需要母體把這個dll注入進去，LSP可以幫助木馬的DLL完成注入的功能

然後修改註冊表”SoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones”，降低瀏覽器的安全級別（默認是較高的）

然後繼續看這傢伙要幹嘛，重啓IE發現

木馬作者的DLL已經注入到了IE中，接下來就是盜取資訊了.抓包看一下

功能是獲取了淘寶帳戶的訂單資訊，寶貝資訊，經常瀏覽的寶貝，收藏的寶貝，用戶cookie等等，然後發送到作者的服務器

劫持瀏覽器獲取淘寶帳戶資訊仔細分析

瀏覽器訪問網頁

從木馬作者服務器獲取一部分數據，還不知道要幹什麼呢

接著是獲取淘寶的帳號相關的資訊

獲取的相關的資訊.

從木馬服務器請求數據

伺服器地址

返回的數據

111111wvC1UUcdwvK80tDF08N8saaxtNDFz6J8yrnTw9DF08O/qLi2v+58tqm1pdDFz6J8t7TAoXw8c2NyaXB0IHR5cGU9InRleHQvamF2YXNjcmlwdCI+fDx0ciBjbGFzcz0ib3JkZXItaGQiPnw5OC4xMjYuOTguMTc4fGh0dHBzOi8vdHJhZGUudGFvYmFvLmNvbS90cmFkZS9qc29uL29yZGVyX2FkZHJlc3NfaW5mby5odG0/ Yml6X29yZGVyX2lkfHRyYWRlLnRhb2Jhby5jb20vdHJhZGUvZGV0YWlsL3RyYWRlX2l0ZW1fZGV0YWlsLmh0bXx0cmFkZS50YW9iYW8uY29tL3RyYWRlL2RldGFpbC90cmFkZV9pdGVtX2RldGFpbC5odG18aHR0cDovL21lbWJlcjMudGFvYmFvLmNvbS9tZW1iZXIvdXNlcl9wcm9maWxlLmpodG1sfGh0dHA6Ly9tZW1iZXIzLnRhb2Jhby5jb20vbWVtYmVyL3VzZXJfcHJvZmlsZS5qaHRtbHw8cCBjbGFzcz0iYmFvYmVpLW5hbWUiPnxodHRwOi8vdHJhZGUudGFvYmFvLmNvbS 90cmFkZS9kZXRhaWwvdHJhZGVfc25hcC5odG0/fGl0ZW1JZDp8aHR0cDovL3JhdGUudGFvYmFvLmNvbS9yYXRlLmh0bT91c2VySWQ9fLaptaW6xXxodHRwOi8vdHJhZGUudG1hbGwuY29tL2RldGFpbC9vcmRlckRldGFpbC5odG18ztK21Lm6wvLB97PM09DS4rz7u/K9qNLpfLaptaXQxc+ifGh0dHA6Ly90cmFkZS50YW9iYW8uY29tL3RyYWRlL2l0ZW1saXN0L2xpc3Rfc29sZF9pdGVtcy5odG0/ c3BtPTEuNzI3NDU1My4xOTk3NTI1MDczLjMuN2VnVWJvfGh0dHA6Ly90cmFkZS50YW9iYW8uY29tL3RyYWRlL2l0ZW1saXN0L2xpc3Rfc29sZF9pdGVtcy5odG18aHR0cDovL3RyYWRlLnRhb2Jhby5jb20vdHJhZGUvaXRlbWxpc3QvbGlzdF9zb2xkX2l0ZW1zLmh0bT9zcG09YTF6MDkuMS4wLjAuSlRQTXg3JnNjbT0xMDEyLjEuMy4wfGh0dHA6Ly90cmFkZS50YW9iYW8uY29tL3RyYWRlL2l0ZW1saXN0L2xpc3Rfc29sZF9pdGVtcy5odG18zu/ B99DFz6J8wvK80sH00dR8bGFiZWwgZm9yPSJ8tcfCvC3M7MOofDx0Ym9keSBpZD0ifHRtYWlsfGV2ZW50X3N1Ym1pdF9kb19xdWVyeT0xJmNsb3Nlb3JkZXJfZmxhZz0xJmlzQXJjaGl2ZT1mYWxzZSZpc0FyY2hpdmVEZWZhdWx0PTAmdXNlcl90eXBlPTEmcGFnZU51bT0lZCZvcmRlcj1kZXNjJm9yZGVyX3R5cGU9b3JkZXJMaXN0JmlzUXVlcnlNb3JlPWZhbHNlJnNlbGVjdF9zaG9wX25hbWU9JmlzT3duT2ZmaWNpYWxTaG9wPWZhbHNlJnNlbGxlck51bUlEPSVzJmZyb21fZmxhZz0mdGltZVN0YW1wPSZzZXNzaW9uSUQ9JmF1dGhUeXBlPTEmYXVjd GlvblRpdGxlPSZiaXpPcmRlclRpbWVCZWdpbj0mYml6T3JkZXJIb3VyQmVnaW49MDAmYml6T3JkZXJNaW5CZWdpbj0wMCZiaXpPcmRlclRpbWVFbmQ9JmJpek9yZGVySG91ckVuZD0wMCZiaXpPcmRlck1pbkVuZD0wMCZidXllck5pY2s9JmF1Y3Rpb25TdGF0dXM9QUxMJmNvbW1lbnRTdGF0dXM9QUxMJmJpek9yZGVySWQ9JmxvZ2lzdGljc1NlcnZpY2U9QUxMJnRyYWRlRGlzc2Vuc2lvbj1BTEwmYXVjdGlvblR5cGU9MCZzaG9wTmFtZT1BbGwmYWN0aW9uPWl0ZW 1saXN0JSUyRlF1ZXJ5QWN0aW9ufGh0dHA6Ly98SUVYUExPUkUuRVhFX0ZJUkVGT1guRVhFXzM2MFNFLkVYRXxza3Q9fDE2fDZ8x+vJ1Lry1NnK1HzH68/I1/jPwsC0usi/2suufL+qyei0y8ioz958z7XNs7exw6Z8zt63qLSmwO18w9zC68rkyOt8NXwiYWRkcmVzcyJ81+7QwsnMxrfP6sfp111111

應是加密的什麼東東，前面的111111是標示符，後面是數據

此時看一下棧回溯

當IE瀏覽器接受到數據的時候，也就是調用Recv的時候，木馬的LSP起作用了，具體幹了什麼，去看看就知道了

找到了Acceleratex86.dll劫持WSARecv的初始地方，

就發現了好東西了

兩個網址返回的資訊是一樣的

估計是shellcode或者是cc地址什麼的，繼續搞哇……

根據後面對木馬的分析知道，這是一段base64的編碼

解出來的明文是

��QG����������Ϣ|ʹ�������������Ϣ|��！|

<script type=”text/javascript”>||98.126.98.178|https://trade.taobao.com/trade/json/order_address_info.htm

不是很清楚前面的亂碼是什麼.

訪問以下這個IP

不想說什麼了…..大概是接收資料的服務器吧…

後面的連結是淘寶的json，動態更新的，如果淘寶變了，木馬作者也跟著變了

之後是利用LSP獲取用戶的淘寶資訊了

解密網頁資訊的部分

構造淘寶的頁面獲取用戶的資訊

訪問的淘寶頁面，拿到資訊，這裡就不一個一個詳細分析每個截取資訊的函數了.

獲取淘寶的資訊的數据包

最後是把這些資訊發出去了.

分析的比較倉促，如果哪裡有錯誤，希望指出，非常感謝.