实战分析Redline家族木马
本帖最后由 eee1132 于 2023-8-21 14:04 编辑【8aca8fe2dfa143a3210f00df3f43d4185fefa7a3】分析报告
本文档讲述关于病毒样本的恶意行为、功能代码、实现过程;
二、
相关文件8aca8fe2dfa143a3210f00df3f43d4185fefa7a3
三、行为预览样本名称: 8aca8fe2dfa143a3210f00df3f43d4185fefa7a3
分析软件:IDA/OD/火绒剑行为分析
1. 会连接网络服务器
2. 会进行删除自身操作
3. 会盗取电脑个人信息
四、详细分析(动态调试+静态分析)
1. 调试的时候发现 会修改00400000的内存属性 可读可写可执行
2. 修改完毕之后 跳过去执行那部分代码是第二个exe dump出来可以直接运行
3.发现软件会进行连接国外服务器 查询IP为欧洲的之后分析发现会调用send 和Recv 和服务器进行通讯
4.OD调试过后 发现最后会调用 RegQueryInfoKey 读取注册表信息
读取火狐浏览器注册表信息和安装目录
判断apple 软件的注册表信息是否存在 存在就读取
读FTP缓存信息
五. 分析结果
软件是一个偷取用户信息的病毒,会盗取用户个人资料属于Redline家族
1、格式太乱了,换个行吧,图片也是单独换行,如果是从word复制过来,请到纯文本模式下粘贴编辑。
2、样本加密码上传,否则会导致论坛被误报。 题主,我在动态调试时,发现jmp eax跳转过去后在socket初始化后connect连接调用两次后就会删除自身文件并关闭ida,这个现象只是偶尔触发,能否解答一下他是如何实现的。技术不够分析了很久没发现从哪开始删除文件的,这个又是如何实现的。我看微步上分析有调用seterr实现反调试,但是这个只是偶尔触发,应该不是这个导致的。 redline 家族的malware我曾经分析过!记得应该是.net写的难道现在改了? 这个我也清除了一下格式,都修改好告诉我,我给你加分。 大神 我的膝盖在这里 學習一下 學習一下 hackerSQL 发表于 2023-8-19 21:39
支持一下,火绒剑具体咋用能出个教程吗
1.开启火绒剑的ark 工具
2.设置过滤进程,过滤动作
3.点击开始监控
4.运行病毒程序 火绒剑就会记录行为
页:
[1]
2