记一次捆绑后门的分析
本帖最后由 许泽楷 于 2016-9-19 11:24 编辑没有啥技术含量
分析的时候用的电脑是公司的
裸奔 两个玩意直接让后门现出原形
适于我这种小白学习 大神请不要调戏我附上这两个样本样本地址
http://1000eb.com/1kve7
今天刷论坛 看到有人发帖
我的内心是开心的
点进去一看 图片直接去调用的小七网络那边的
意思是你在别的论坛也有发过咯
转念一想 不太对 一个YY查IP工具 然后之后又发了一个宽带提速
特地去下载了一个沙盘 运行后发现释放了一个Server.exe
尼玛太明显了把 于是乎我联系了小七那边的管理
(因为我电脑没有环境 想让小七帮我分析下)
结果他直接封号删帖了 我勒个擦 你倒是分析一下啊
好吧 我就down了个IP雷达下来
直接分析他的宽带提速
发现程序是E语言写的
迅雷快鸟的破解补丁
PEID查壳 尼玛delphi? 说好的E语言
(目测是用捆绑器捆绑的结果)
直接沙盘运行 然后默默关注着雷达
释放了一个sky.exe
http://www.hackxk.net/data/attachment/forum/201609/19/104212p5cs53lseuscg6cp.png
然后看雷达结果
http://www.hackxk.net/data/attachment/forum/201609/19/104225i110y1ks00y7gi3m.png
哦吼 这个是啥dkning118.f3322.net
于是乎我默默的打开了
3322的官网 联系了客服
http://www.hackxk.net/data/attachment/forum/201609/19/104329udz2jujysyygd4uv.png
@许泽楷
三、原创病毒分析贴建议将样本进行分享,方便后人进行学习,但分享的时候一定要在帖子和附件中注明附件为病毒、木马或者可疑文件,附件样本压缩包上传时必须使用压缩密码保护,压缩密码:52pojie,防止下载样本的时候被杀软拦截,可能导致整个论坛域名被杀软误报,也可以将样本压缩加密后上传网盘,然后把网盘地址贴到帖子中,推荐使用以下网盘:
http://pan.baidu.com
http://yunpan.360.cn
http://www.weiyun.com/disk/index.html
http://1000eb.com Hmily 发表于 2016-9-19 11:19
@许泽楷
三、原创病毒分析贴建议将样本进行分享,方便后人进行学习,但分享的时候一定要在帖子和附件中 ...
抱歉哈 我重新编辑下 -Zing- 发表于 2016-9-19 10:58
你上一张图打马赛克。下一张图没打马赛克。。。。。。
谢谢哈 其实也没啥IP
一台服务器是要到期了的
-Zing- 发表于 2016-9-19 11:05
你学啥的、
学Dz维护 运营的 这个要多加分析分析////
页:
[1]
2