实战分析Redline家族木马

eee1132

【8aca8fe2dfa143a3210f00df3f43d4185fefa7a3】分析报告
本文档讲述关于病毒样本的恶意行为、功能代码、实现过程；

二、
相关文件8aca8fe2dfa143a3210f00df3f43d4185fefa7a3


三、行为预览样本名称：        8aca8fe2dfa143a3210f00df3f43d4185fefa7a3               
分析软件：IDA/OD/火绒剑行为分析
1. 会连接网络服务器
2. 会进行删除自身操作
3. 会盗取电脑个人信息
四、详细分析(动态调试+静态分析)


1. 调试的时候发现 会修改00400000的内存属性 可读可写可执行

1

2. 修改完毕之后 跳过去执行那部分代码  是第二个exe dump出来可以直接运行

2

3.发现软件会进行连接国外服务器 查询IP为欧洲的之后分析发现会调用send 和Recv 和服务器进行通讯

3

4.OD调试过后 发现最后会调用 RegQueryInfoKey 读取注册表信息

4

读取火狐浏览器注册表信息和安装目录

5

判断apple 软件的注册表信息是否存在 存在就读取

6

读FTP缓存信息

7

五. 分析结果
软件是一个偷取用户信息的病毒,会盗取用户个人资料  属于Redline家族
8aca8fe2dfa143a3210f00df3f43d4185fefa7a3.zip (139.31 KB, 下载次数: 30)

2023-8-21 13:51 上传

点击文件名下载附件

Hmily

1、格式太乱了，换个行吧，图片也是单独换行，如果是从word复制过来，请到纯文本模式下粘贴编辑。
2、样本加密码上传，否则会导致论坛被误报。

xiaoxiaoY520

题主，我在动态调试时，发现jmp eax跳转过去后在socket初始化后connect连接调用两次后就会删除自身文件并关闭ida，这个现象只是偶尔触发，能否解答一下他是如何实现的。技术不够分析了很久没发现从哪开始删除文件的，这个又是如何实现的。我看微步上分析有调用seterr实现反调试，但是这个只是偶尔触发，应该不是这个导致的。

tfrist

redline 家族的malware我曾经分析过！记得应该是.net写的  难道现在改了？

Hmily

这个我也清除了一下格式，都修改好告诉我，我给你加分。

wjs998

大神    我的膝盖在这里

GaryZong

學習一下

Shadow1005

學習一下

eee1132

hackerSQL 发表于 2023-8-19 21:39
支持一下，火绒剑具体咋用能出个教程吗

1.开启火绒剑的ark 工具
2.设置过滤进程,过滤动作
3.点击开始监控
4.运行病毒程序 火绒剑就会记录行为