码迷,mamicode.com
首页 > 其他好文 > 详细

【原创】一次远控木马分析

时间:2018-01-19 18:46:29      阅读:242      评论:0      收藏:0      [点我收藏+]

标签:img   地址   导入   svc   模块   .dll   技术   doc   md5   

病毒来源:从VPS上发现此木马

提取样本后分析

文件名:vister.exe

MD5:30866adc2976704bca0f051b5474a1ee

技术分享图片

此处创建了一个进程

技术分享图片

 

技术分享图片

申明了一个2800大小的Space.buffer

并将地址mov5123EA08

技术分享图片

导入win32 api 创建了文件,继续走。

技术分享图片

Loadlibrary加载了msvcrt.dll,获取memcpy的函数地址。

技术分享图片

这里调用了大量win32 API 

技术分享图片

 

技术分享图片

Manifest

创建打开config.cnt文件

在路径C:\WINDOWS\Help\下内容:

 技术分享图片

判断C:\WINDOWS\Help\config.cnt 文件是不是存在,不存在的话,写入磁盘。

空间信息

技术分享图片

这里是将磁盘信息加密后写入C:\WINDOWS\system32\wbem\wbemups.dll

技术分享图片

技术分享图片

技术分享图片

此处将doc;ppt;wps;xls等文件进行压缩处理(这里比较多我就截一点了)

技术分享图片

技术分享图片

技术分享图片

技术分享图片

程序此模块执行流程图

 技术分享图片

剩下的由于时间原因就先分析到这,过两天再把分析完,分享给大家。

【原创】一次远控木马分析

标签:img   地址   导入   svc   模块   .dll   技术   doc   md5   

原文地址:https://www.cnblogs.com/blck/p/8318256.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!