BanID:暴尔丶【发布软件捆绑远控】
BanID:暴尔丶【发布软件捆绑远控】在举报区收到@8号社区 同学发出的举报 http://www.52pojie.cn/thread-458909-1-1.html ,说软件有木马,之后@山顶的一棵草 同学也跟进贴出分析,最后Hmily介入调查确认确实捆绑木马,下面给大家回顾一下分析过程,这个捆绑的木马行为比较简单,适合大家分析,它是一个远程控制木马。
一:由于行为比较简单,直接做描述吧(安全起见请在虚拟机中进行分析):
1、运行捆绑木马的主体文件“车主破解版.exe(MD5: BC1239CEB1D7A24F8376F0F5A50B59B4)”,友情提醒这个木马加了SE壳,并且勾选了壳的反虚拟机功能,所以大家可以使用吾爱破解的虚拟机可以绕过,我这里用ximo大神做的神器,点一下就可以绕过所有的反虚拟机调试,不再赘述。
2、点破解就触发运行木马了,可以看到木马被释放在C:\Program Files\winlogom.exe(MD5: 535A422C89E9B61235240914AFB29BE6)并启动(我用的是System Safety Monitor(SSM),爱盘有下载)。
3、我们看看这个释放出来的木马都干了什么,继续让它运行,发现它联网下载(http://118.193.172.24/4.dll)一个木马dll(加密的)放到C:\Program Files\4.dll,并且把自己复制到这个目录运行C:\WINDOWS\Terms.EXE.exe
4、到这里捆绑释放运行的整理工作结束了,后面就是Terms.EXE.exe木马自己开始干活了,Terms.EXE.exe运行后先去下上面那个dll来更新,然后添加一个启动项自启动,再申请一段内存,把上面下载下来的4.dll解密并内存加载起来执行,这个dll解密出来其实叫NetSyst76.dll,加了upx壳,后面我打包给大家,实际的所有远控功能都在这个dll里,exe其实只是做load和更新功能,大家可以直接调试分析看看。
木马样本打包(包括解密出来的dll和脱壳后的dll)【解压密码:52pojie】:
二:如何查杀,经过上面分析就知道很简单了,直接结束掉Terms.EXE.exe这个进程并删除文件其实就可以了,虽然上面其他那些文件都不运行,完美期间可以把启动项也删除,还有上面提及到的那几个文件一并删除。
三:1、放木马人的信息如下:
姓名:李奎
支付宝账号:319029590@qq.com
使用服务器:118.193.172.24
我们已经将木马和上线信息提供到360病毒分析组,360可以查杀,并且提供给网安,有支付宝信息,网警很容易落实到他本人。
2、虽然论坛有很多高手,但我们希望提供做有人的安全意识和识别能力,看上述我的分析是不是很简单,没有代码只有行为拦截分析,我想这你也可以做到,不如来试试。
3、大家对于新注册会员发布的内容请多加注意,有能力分析出问题的可以帮助我们尽快举报,大家合力保卫论坛安全。
想对那些涂怀不轨的人说,你在吾爱破解这样的技术论坛玩这种小伎俩,分分钟就给你剥皮把肉看得清清楚楚了,这里都是活跃在互联网安全界的精英,任何小动作就是自讨苦吃,奉劝那些蠢蠢欲动的人,尽快走入正途,不要误入歧途!
最后感谢大家一直以来对吾爱破解论坛的支持和维护,论坛安全离不开大家监督,任何违法违规的行为都逃不过大家的眼睛和管理的审查,对待此类*渣论坛绝不手软,坚决处罚到底! lianyetuotao 发表于 2016-2-1 15:32
大概只有个spyshelter正常更新了吧,其他都是杀毒为主功能,带hips,毛豆变大了不少,再其他旧的都是新系统没 ...
感谢 这个还真没听过 毛豆没敢用呢 因为杀毒用的红伞 怕冲突哪天试试你推荐的这个SPY 前排出售花生米。 分析的漂亮 前排出售花生米,瓜子,可乐。 吾爱MM分析的漂亮 坏蛋真多啊 小白人怎么办 支持管理员,支持吾爱。。 前排赞叹分析的漂亮!{:301_1003:} 办的好 放马放到这来了 支持,网络安全靠大家