简易分析一个远控木马
本帖最后由 201 于 2019-7-31 16:28 编辑之前,我在CSDN上下载软件,无意间下了个木马,见https://www.52pojie.cn/thread-992894-1-1.html之后,准备分析时,玩病毒玩的有点过,然后,电脑系统坏了~~~ 今天来补个分析。。
先把样本信息贴出来:样本一名称:Fake Ninja 2.7 by Spirit终极版.exe (此为捆绑)大小:1.12 MB (1,172,951 bytes)MD5:B5E1077A1E2288CC6B796360F1530122
样本二名称:Server.exe (此为木马主程序)大小:744 KB (761,344 bytes)MD5:42BEAAF041F5E148B59BA94E1E664D47
在虚拟机运行 “Fake Ninja 2.7 by Spirit终极版”,可见这个文件尝试打开另一文件
通过定位文件,我们发现“Fake Ninja 2.7 by Spirit终极版”生成了两个文件一个是真正的“Fake Ninja 2.7 by Spirit”,另一个为“Server.exe”,显得十分可疑
随后,“Fake Ninja 2.7 by Spirit终极版”运行了真正的程序,还在后台启动了“Server.exe”
之后,这个名为“Server.exe”的木马安装包在系统目录下生成名为“360插件”的木马主程序,并伪装驱动文件设置系统属性和隐藏属性随后,木马安装包通过注册表,设置木马主程序为开机自启后,启动木马主程序,木马主程序通过后台启动IE浏览器,连接作者的服务器,下载其它病毒(作者的服务器已经打不开了)
木马安装包在系统目录下生成名为“uninstal.bat”的文件,并运行uninstal.batuninstal.bat 删除了木马安装包和自身致此,分析完成~~~与其说这是个木马,倒不如说这是个病毒下载器
uninstal.bat 指令如图
木马的部分运行过程如图
我在CSDN举报了此文件,此文件在CSDN已删除
第一次发病毒分析,如有不好请指出。。。
木马的执行流程~~~
LibertyCola 发表于 2019-7-31 16:10
为什么举报不通过,ai
上次我没分析,刚才我举报时把这篇帖子和分析报告一起给官方了,CSDN已经把这个文件删除了 Boxkun 发表于 2019-8-6 21:19
请问您截图里的杀毒软件是什么 就是桌面回收站下方的那个 感觉挺不错的想整一个
System Safety Monitor
https://www.52pojie.cn/thread-29670-1-1.html
最后那个分析进程的是 Malware Defender
分析得透彻!{:1_921:} 大伟伟小娜娜 发表于 2019-7-31 16:01
分析得透彻!
还不够透彻,能力有限~~~ 为什么举报不通过,ai @rsndm 这个远控貌似会从 12567.ggii.net 下载其它病毒,现在这个网址已经打不开了 帮大佬顶贴。分析的不错,值得我们小白好好学习一下。 不错,继续加油 666,见识了 ,解析的如此透彻,我也来学习一下。谢谢大佬分享 666666 分析不错