码迷,mamicode.com
首页 > 其他好文 > 详细

某下载者的下载接管

时间:2014-07-30 10:02:24      阅读:176      评论:0      收藏:0      [点我收藏+]

标签:下载者   接管   

样本来自卡饭论坛,本文主要展示如何对下载者的下载接管,注重网络通信部分,其他感染传播隐藏之类的功能暂且不涉及,代码分析部分暂不贴了。

一、样本基本信息

1)文件名称: yf.exe
2)MD5:9648c7cc2f01d7b67718cb89a48d927e
3)文件类型:EXE
4)壳或编译器信息:PACKER:UPX V2.00-V3.00 -> Markus Oberhumer & Laszlo Molnar & John Reiser [Overlay] *
5)子文件信息: upx30_b0a55865 /  8a92e75e5440e9bcf4ff98f85ff99248 /  EXE
6)网络通信部分
请求主机:c.shidaihuabian.com
通信协议:http
下载运行:s.gif

二、接管原理及过程

1)接管原理:通过hosts劫持修改样本主机的域名c.shidaihuabian.com转向,在目标主机web服务器提供http://c.shidaihuabian.com/s.gif,其中s.gif为加密下载列表如下:

^jjf0%%Xbe]$+'Yje$Yec%WjjWY^c[dj%(&'(&*%*+/*-'(U'))*').&&+$hWh
^jjf0%%Xbe]$+'Yje$Yec%WjjWY^c[dj%(&'(&)%*+/*-'(U')))&.&+-+$hWh
^jjf0%%Xbe]$+'Yje$Yec%WjjWY^c[dj%(&'(&*%*+/*-'(U'))*'(+(+&$hWh
^jjf0%%Xbe]$+'Yje$Yec%WjjWY^c[dj%(&'(&*%*+/*-'(U'))*'(+(+.$hWh
^jjf0%%Xbe]$+'Yje$Yec%WjjWY^c[dj%(&'(&*%*+/*-'(U'))*').&'-$hWh

样本下载解密后,获取接管程序下载地址: 

blog.51cto.com/attachment/201204/4594712_1334138005.rar
blog.51cto.com/attachment/201203/4594712_1333080575.rar
blog.51cto.com/attachment/201204/4594712_1334125250.rar
blog.51cto.com/attachment/201204/4594712_1334125258.rar
blog.51cto.com/attachment/201204/4594712_1334138017.rar

其中"http://c.shidaihuabian.com/s.gif" >> "%windir%\temp\olm.ini",压缩包下载至: 

C:\Documents and Settings\All Users\Documents\ejl1.tmp
C:\Documents and Settings\All Users\Documents\ejl2.tmp
C:\Documents and Settings\All Users\Documents\ejl3.tmp
C:\Documents and Settings\All Users\Documents\ejl4.tmp
C:\Documents and Settings\All Users\Documents\ejl5.tmp

2)接管流程

1、启动样本运行虚拟机,运行apateDNS,域名重定向至本地127.0.0.1

bubuko.com,布布扣

2、本地架设一个web服务器,提供s.gif,实际为加密下载列表,对应url:http://c.shidaihuabian.com/s.gif

bubuko.com,布布扣

3、提供接管程序伪装为blog.51cto.com/attachment/201204/4594712_133413 8005.rar之类的压缩包

bubuko.com,布布扣

4、运行样本

bubuko.com,布布扣

5、样本下载http://c.shidaihuabian.com/s.gif解密下载列表后,下载接管程序

bubuko.com,布布扣

6、下载列表http://c.shidaihuabian.com/s.gif下载至%windir%\temp\olm.ini,解析完后被删除,接管程序下载至

C:\Documents and Settings\All Users\Documents\ejl1.tmp
C:\Documents and Settings\All Users\Documents\ejl2.tmp
C:\Documents and Settings\All Users\Documents\ejl3.tmp
C:\Documents and Settings\All Users\Documents\ejl4.tmp
C:\Documents and Settings\All Users\Documents\ejl5.tmp

bubuko.com,布布扣


转载请注明:http://blog.csdn.net/wangqiuyun/article/details/38292957


某下载者的下载接管,布布扣,bubuko.com

某下载者的下载接管

标签:下载者   接管   

原文地址:http://blog.csdn.net/wangqiuyun/article/details/38292957
(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
分享档案
更多>
2021年07月29日 (22)
2021年07月28日 (40)
2021年07月27日 (32)
2021年07月26日 (79)
2021年07月23日 (29)
2021年07月22日 (30)
2021年07月21日 (42)
2021年07月20日 (16)
2021年07月19日 (90)
2021年07月16日 (35)
周排行
mamicode.com排行更多图片
更多
友情链接
兰亭集智   国之画   百度统计   站长统计   阿里云   chrome插件   新版天听网
关于我们 - 联系我们 - 留言反馈
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!