简易分析一个远控木马

FleTime · 发表于 2019-7-31 15:50

本帖最后由 201 于 2019-7-31 16:28 编辑

之前，我在CSDN上下载软件，无意间下了个木马，见 https://www.52pojie.cn/thread-992894-1-1.html

之后，准备分析时，玩病毒玩的有点过，然后，电脑系统坏了~~~ 今天来补个分析。。

先把样本信息贴出来：

样本一名称：Fake Ninja 2.7 by Spirit终极版.exe （此为捆绑）

大小：1.12 MB (1,172,951 bytes)

MD5：B5E1077A1E2288CC6B796360F1530122

样本二名称：Server.exe （此为木马主程序）

大小：744 KB (761,344 bytes)

MD5：42BEAAF041F5E148B59BA94E1E664D47

在虚拟机运行 “Fake Ninja 2.7 by Spirit终极版”，可见这个文件尝试打开另一文件

通过定位文件，我们发现“Fake Ninja 2.7 by Spirit终极版”生成了两个文件

一个是真正的“Fake Ninja 2.7 by Spirit”，另一个为“Server.exe”，显得十分可疑

随后，“Fake Ninja 2.7 by Spirit终极版”运行了真正的程序，还在后台启动了“Server.exe”

之后，这个名为“Server.exe”的木马安装包在系统目录下生成名为“360插件”的木马主程序，并伪装驱动文件设置系统属性和隐藏属性

随后，木马安装包通过注册表，设置木马主程序为开机自启后，启动木马主程序，

木马主程序通过后台启动IE浏览器，连接作者的服务器，下载其它病毒（作者的服务器已经打不开了）

木马安装包在系统目录下生成名为“uninstal.bat”的文件，并运行uninstal.bat

uninstal.bat 删除了木马安装包和自身

致此，分析完成~~~

与其说这是个木马，倒不如说这是个病毒下载器

uninstal.bat 指令如图

木马的部分运行过程如图

我在CSDN举报了此文件，此文件在CSDN已删除

病毒样本.7z (638.52 KB, 下载次数: 115)

第一次发病毒分析，如有不好请指出。。。

木马的执行流程~~~

FleTime · 发表于 2019-7-31 16:12

LibertyCola 发表于 2019-7-31 16:10
为什么举报不通过，ai

上次我没分析，刚才我举报时把这篇帖子和分析报告一起给官方了，CSDN已经把这个文件删除了

FleTime · 发表于 2019-8-6 21:24

Boxkun 发表于 2019-8-6 21:19
请问您截图里的杀毒软件是什么就是桌面回收站下方的那个感觉挺不错的想整一个

System Safety Monitor
https://www.52pojie.cn/thread-29670-1-1.html

最后那个分析进程的是 Malware Defender

大伟伟小娜娜 · 发表于 2019-7-31 16:01

分析得透彻！

FleTime · 发表于 2019-7-31 16:01

大伟伟小娜娜发表于 2019-7-31 16:01
分析得透彻！

还不够透彻，能力有限~~~

LibertyCola · 发表于 2019-7-31 16:10

为什么举报不通过，ai

FleTime · 发表于 2019-7-31 16:19

@rsndm 这个远控貌似会从 12567.ggii.net 下载其它病毒，现在这个网址已经打不开了

iflower · 发表于 2019-7-31 16:28

帮大佬顶贴。分析的不错，值得我们小白好好学习一下。

andyling123 · 发表于 2019-7-31 16:31

不错，继续加油

feelsoright · 发表于 2019-7-31 16:35

666，见识了，解析的如此透彻，我也来学习一下。谢谢大佬分享

我想问一下 · 发表于 2019-7-31 16:39

666666 分析不错

帐号		自动登录	找回密码
密码			注册[Register]

[PC样本分析] 简易分析一个远控木马