私服远控(白利用)木马分析
本帖最后由 kangkai 于 2015-11-10 13:06 编辑// 晚上再来补充一点别的信息吧,样本来源于某个朋友
一、详细分析 1. 木马特点
木马作者精心构筑了一个层层利用的方式,通过执行白exe文件,加载白dll文件,最后通过dll文件加载ocx文件来解密ocx文件中的shellcode,最终通过解密的shellcode来执行最终的远控功能。
2. 流程图
3. 木马执行流程
3.1在%program%木马释放一个私服文件,并执行迷惑用户在启动私服游戏
私服登录器启动界面如图
3.2 在%program%和%Windows NT%释放木马执行文件
3.3执行winit.exe文件,并加载potplayer.dll
3.4 potplayer.dll动态链接库文件加载后,会加下同目录下的Torchwood.ocx文件,
Torchwood.ocx文件为真正的远控代码所有者。通过读取Torchwood.ocx中的shellcode
来执行远控操作。对shellcode解密后发现这段shellcode为pe文件
3.5通过抓包工具去抓取远程地址发现为一个IP地址,但是没有数据传回,可能这个地址已经失效了
3.6我来看看dump出来的这段pe文件,用winhex发现有一段加密的字符串
通过OD对这段加密字符串解密,发现是一张图片,但是已经失效了
“对shellcode解密后发现这段shellcode为pe文件”
这句话我不是很赞同,那个不能算shellcode,更准确应该称呼为资源文件。 不明觉厉{:301_1001:} 玩私服的大多数都会中毒 看得不明白需要学习一下。谢谢楼主的分享。 看来私服以后也不能玩了!!!! 很老的东东了 应该是在资源中释放一个PE文件把 666666666 感谢分享 有的学习 看不懂,原谅我是个新手