吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 24437|回复: 37
上一主题 下一主题
收起左侧

[PC样本分析] 记一次远程木马实现开机启动分析

  [复制链接]
跳转到指定楼层
楼主
c0d1 发表于 2017-5-8 20:41 回帖奖励
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
这个木马是别人给我的,说是能绕过360实现开机启动,我分析了一下,确实可以实现开机启动,但是能否绕360就不知道了,之后朋友跟我说现在已经绕不过了,又出了新版本的,但是没能拿到
1.测试环境:VMware虚拟机 Win XP SP32.测试工具:IDA pro6.8、吾爱破解专用OD、010Editor、System Safety Monitor3.哈勃分析文件MD5         49bcf60fdc12337f709e8d5998075be6




其中在NetWork文件夹中只发现了resmon.resmoncfg、dat.dll、key.dat、NetKey.dll,并未发现Mag.ini文件,猜测可能被删除或者是因为无网络连接导致文件未创建。文件abcd被重命名并且移动至C:\windows\system32\tpgenlic.dll,但是也并没有发现这两个文件的踪迹 文件delself.bat用于删除木马原始文件以及自身 4.Mm.exe程序使用IDA分析,程序中函数较少,分析起来也比较轻松关键函数sub_401100,发现这个函数实现的很多功能,于是使用OD溯源,发现初始函数sub_4018BA



其中sub_401AD0为WinMain



用OD跟踪,经过一些mfc初始函数,还是来到了sub_401100位置





该函数大致流程如下,加载名为SkinHu.dll的皮肤模块,如果加载失败程序输出“加载Skin皮肤模块失败!”,然后不执行功能,函数返回

  

如果执行成功,那么将会执行sub_4010D0(CreateFile),函数创建或打开’C:\windwos\system32\clb.dll’,并返回一个可以用来访问这些对象的句柄。实际上用检测是否可以打开注册表(clb.dll(Column List Box),没有它,注册表编缉器会无法运行)接着创建文件C:\Documents and Settings\All Users\Application Data\NetWork文件夹,并在其下创建resmon.resmoncfg文件:

初步分析认为可能是某个漏洞的shellcode, 之后会执行sub_401600函数



创建虚拟地址,填充内容,主要功能为创建(V2这个VirtualAlloc较难分析,所以也并不清楚具体行为)C:\Documents and Settings\All Users\Application Data\NetWork\dat.dll C:\Documents and Settings\All Users\Application Data\NetWork\key.dat C:\Documents and Settings\All Users\Application Data\NetWork\NetKey.dll C:\Documents and Settings\Administrator\Local Settings\Temp\abcd C:\Documents and Settings\All Users\Application Data\NetWork\Mag.ini C:\Documents and Settings\Administrator\Local ettings\Temp\delself.bat 截获到程序创建的临时bat文件,其路径为:C:\Documents and Settings\Administrator\Local Settings\Temp\delself.bat:



  Netkey.dll大致看了一下函数,猜测很可能是用于处理远程命令执行请求的Dat.dll由于函数特别多(1240个,还可能包含未被识别的函数),所以分析起来特别麻烦,但是推测开机启动的实现可能存在于这里
  猜测:由于程序本身并没有发现任何的操作来实现开机启动的可能,所以问题可能发生在生成的dll文件中,

1.可能是写入注册表实现自启动



在处理mm.exe程序过程中,确实发现有对这个[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]注册表项进行操作,但是此注册表项内容太多,刚开始没注意到,所以需要重新恢复虚拟机快照再次实验。。。,可能性:高

2.可能是注入到了系统自身的dll,随系统启动,可能性:中

不足:对dll的分析能力较差,不能较为精确分析出结果Windwos API掌握度不够,很多函数的用法甚至是名称都不熟
新手分析,这个是从之前写好的doc中复制的,可能看起来有些不舒服,见谅

免费评分

参与人数 11吾爱币 +18 热心值 +9 收起 理由
方妍心 + 2 + 1 热心回复!
willJ + 3 继续努力
KaQqi + 1 I see
Hmily + 6 + 1 用心讨论,共获提升!
wmsuper + 1 + 1 谢谢@Thanks!
Akesudia + 1 + 1 用心讨论,共获提升!
怖客123 + 1 + 1 用心讨论,共获提升!
不被承认的好人 + 1 + 1 用心讨论,共获提升!
吾爱破解ys + 1 这个软件在64位系统中无法运行
鲨鱼小白 + 1 + 1 热心回复!
oxxo119 + 1 + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

推荐
Alonc 发表于 2017-5-8 23:03
看看 。 。支持下
推荐
screaming0523 发表于 2017-7-21 21:09
给LZ点赞!
就是不知道360检测系统启动的机制是什么... 就按照两种方法的描述来看肯定是绕不过的...
沙发
1257845453 发表于 2017-5-8 21:01
3#
lijx 发表于 2017-5-8 21:22
1257845453 发表于 2017-5-8 21:01
虽然看不懂 但是感觉好厉害的样子

不明觉厉!!
4#
走开让我来 发表于 2017-5-8 22:10
不明觉厉~~~
5#
zousir 发表于 2017-5-8 22:17
让我想起了 灰鸽子
7#
一路有你 发表于 2017-5-9 07:39
目前没有开放什么远程控制软件了,基本都是封杀了
8#
lvcha128 发表于 2017-5-9 08:23
能自动打开摄像头?
9#
01234 发表于 2017-5-9 08:52
这种远控要开机启动 一般都是服务 或者注册表启动项
10#
hikaru10 发表于 2017-5-9 09:16
{:1_888:}木马太多,还是得注意保护个人隐私安全.
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 10:28

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表