一款远控木马分析,仅供学习思路用途
最近一段时间在面试病毒相关岗位,有的公司会电话、远程面试询问相关知识,有的则会直接发送病毒样本要求分析,写出分析报告。下面要分析的就是面试过程中的某个样本,整理成文,发表出来,供大家参考学习,一起进步!如有不当之处,也希望大佬批评指正,晚辈一定虚心受教。
由于考虑到时间问题,不能让面试官等太久,所以我只将病毒关键功能模块进行分析说明,没有之前文章那么详细,也请大家见谅,不懂之处欢迎提出,我也尽量解答,加油!
注意!本文只限于学习用途。
一
样本信息
- 样本名称:
94251089D878B5C45A763B205062B60CC4D7D0A1CD4CAB3CAA38D8E6A43ECB11
- 样本大小:893.13KB
- MD5:ba46b18f05ab2b24df26e343dd32946b
- SHA-256:
32db88982a0d0f92804c4c53ffd8555935871e23b35a9d362e037353cb6b44c5
- SHA-1:
34f07e131d4f147af96d262eee761582c6f0b1a4
- VirusTotal:
https://www.virustotal.com/#/file/32db88982a0d0f92804c4c53ffd8555935871e23b35a9d362e037353cb6b44c5/detection
二
病毒分析环境及工具
环境:Oracle VM VirtualBox、Windows 7 Service Pack 1(x64)
工具:PEID V0.95、OD、IDA、Resource Hack、火绒剑、010editor、Resource Explorer
三
基础病毒分析
1、基础静态分析
为了方便测试,更改病毒名称为1,拖入PEID发现为非PE文件,拖入010editor发现是个rar文件,更改文件名添加.rar后缀解压发现一个伪装成文件夹的exe程序。
对18xxxxxxxxxxxxxxxxxxxxxxxxxxxxx.exe进行查壳,初步判断为无壳:
将18xxxxxxxxxxxxxxxxxxxxxxxxxxxxx.exe拖入IDA简单发现安全程序字符串和进程遍历函数,判断病毒程序会对安全软件进行遍历:
2、基础动态分析:
为了节约时间,这里就不截图展示了,基本思路是拖入火绒剑监控程序运行,常见的操作和推测可参考之前的文章。
四
详细病毒分析
1、18xxxxxxxxxxxxxxxxxxxxxxxxxxxxx.exe 分析
首先程序来到sub4057AE()函数,对自身PE程序进行检测,失败则会退出。
sub40624F()根据前面获得的启动信息结构体对主机型号进行检测。
获得命令行参数:
然后进入sub408D2C函数得到系统环境变量,宽字节转为单字节。
之后来到核心程序sub401A40()。获取自身路径以及当前目录:
程序进入sub402120()函数,发现主要是两个sub401450()函数:
第一个sub401450(),程序首先设置文件指针,阅读数据放到开辟的内存空间,然后在c:windowshelp下创建备份文件。
接着将备份文件字符串和同文件名目录作为参数传入sub4026B0()函数,进入sub4026B0()函数。创建文件目录,获得备份文件句柄:
拼接处新的图片目录路径和.liz后缀路径,创建新文件1.liz。
之后将1.liz数据写入1.jpg,删除1.liz文件。
下面对比[esp+0x10]的值开始新的循环。
最终写入了7张图片和Thumbs.db文件。
然后删除备份文件:
来到第二个sub4026B0()函数来到第二个sub4026B0()函数。程序获取临时目录文件路径,拼接出字符串c:\useryxxappdatalocal emp at.exe,如果存在直接打开,不存在就创建rat.exe。
之后创建进程运行rat.exe。
拼接出路径c:\useryxxappdatalocal empyeyou.tmp,遍历系统进程,查找是否存在sftlcom.exe与pavfnsur.exe杀毒软件。
之后移动原程序到新的文件名 c:\useryxxappdatalocal empyeyou.tmp里。
2、rat.exe分析
自启动相关:
注册表相关:
复制自身为ctfmon.exe:
寻找资源文件:
创建进程打开alg.exe程序。然后卸载进程模块,实现傀儡进程注入。
唤醒线程,开始运行核心程序。
提取rat.exe的资源文件命名为resource.exe。
3、resource.exe分析
sub405BD0() 函数,提升程序权限:
sub401720() 解密所需的字符串:
接着也是解密出需要使用的dll模块和相关函数地址:
最后进入核心函数 sub405960():
先进入sub405720() 函数。首先程序打开病毒服务器网址,保存返回数据(服务器地址已经挂了)。
直接静态分析,根据自己定义的字符串切割返回的数据。
至此,基本判断为这是个远控木马,进入远控函数sub403190()。程序首先解密出相关的dll,函数名称,并获得函数地址,方便接下来的函数使用。
远控功能。获取本机IP地址:
检测是否能ping通:
获取系统版本,CPU信息:
获取磁盘信息:
获取文件信息,可以远程创建、阅读、重命名、移动、复制、删除。
远程关机,重启。
卸载:
服务启动:
列出进程,杀死进程:
截屏:
然后传入其他两个域名参数,再次进入远控函数:
私信“01”获取免费学习资料及软件
至此病毒简单的分析完毕,在远控功能部分中,病毒作者以熟悉、简单的英文甚至中文拼音来命名功能函数,帮助我们节省大量的时间,如果作者没有这样命名的话,我们也可以采用OD动态调试观察。若以后接触了多的话,远控功能部分可以适当跳过,因为大同小异,没必要浪费时间!
五
病毒行为流程总结
六
技术思考总结
- 要熟悉病毒常见的注入方式,例如这次的傀儡进程注入,最好动手写一遍,熟悉常使用的函数。
- 在病毒与服务器交互的过程中,常常遇到某个函数卡死的情况,这时候要合理nop,不然程序分析不下去。
- 对于病毒常见的功能模块要熟悉,遇到时要合理选择步过,不要浪费时间。
- 对自己有信心,有耐心,程序飞了没关系,再来!
- 多动手,多分享,切勿眼高手低,自己独立分析,参考分析,光看不分析所收获的知识是完全不一样的。
七
手工杀毒及防护建议
1、删除临时文件目录c:\useryxxappdatalocal emp下的rat.exe,byeyou.tmp,ctfmon.exe程序。
2、重启电脑,用专业杀毒软件全盘扫描清理。
3、文明上网,减少对不良网站的浏览,绝不下载不良网站上执行程序。
八
相关IOC
- http[:]//softover.net/chendog/rat/gif
- cn.fetftp.nu
- rt.softseek.org
- MD5:ba46b18f05ab2b24df26e343dd32946b
- SHA-256:
- 32db88982a0d0f92804c4c53ffd8555935871e23b35a9d362e037353cb6b44c5
- SHA-1:34f07e131d4f147af96d262eee761582c6f0b1a4
一款远控木马分析,仅供学习思路用途相关推荐
- 移花接木大法:新型“白利用”华晨远控木马分析
360安全卫士 · 2015/05/28 5:11 0x00 前言 "白利用"是木马对抗主动防御类软件的一种常用手法.国内较早一批"白利用"木马是通过系统文件r ...
- “大灰狼”远控木马分析及幕后真凶调查
9月初360安全团队披露bt天堂网站挂马事件,该网站被利用IE神洞CVE-2014-6332挂马,如果用户没有打补丁或开启安全软件防护,电脑会自动下载执行大灰狼远控木马程序. 鉴于bt天堂电影下载网站 ...
- BT天堂网站挂马事件后续:“大灰狼”远控木马分析及幕后真凶调查
9月初安全团队披露bt天堂网站挂马事件,该网站被利用IE神洞CVE-2014-6332挂马,如果用户没有打补丁或开启安全软件防护,电脑会自动下载执行大灰狼远控木马程序. 鉴于bt天堂电影下载网站访问量 ...
- 关于一款远控木马的简单分析
其实很多朋友都不明白木马是如何简简单单的窃取了你的帐号密码乃至你的网银帐号,趁其你使用网银U盾还没有拔下来,直接操纵你的计算机进行转账,或者更高级的在你转账之时修改网页内容,甚至在你不知不觉中开启你计 ...
- H-WORM家族远控木马分析与处置
病毒背景 H-WORM作者ID为Houdini,使用VBS编写以实现远控蠕虫功能,能够通过感染U盘传播,出现的时间最早可以追溯到2013年7月.因为其简洁有效的远控功能.非PE脚本易于免杀.便于修改等 ...
- 控制指令高达二十多种:远控木马Dendoroid.B分析报告( 转)
控制指令高达二十多种:远控木马Dendoroid.B分析报告 IT社区推荐资讯 - ITIndex.net Apr 24 近期,360团队截获了一款功能强大的专业间谍软件,它可以通过PC端远程控制中招 ...
- “白加黑”远控木马技术分析及手杀方案
"白加黑"是民间对一种DLL劫持技术的通俗称呼,现在很多恶意程序利用这种劫持技术来绕过安全软件的主动防御以达到加载自身的目的,是目前很火的一种免杀手段.本文将针对此类病毒做了一个简 ...
- 对一款远控的个人分析
今天在网上看到一款名叫网灵一号的远控软件,就上官网看介绍稍微研究了一下,发现一般远控的服务端是需要自己配置的,这款远控的服务端(官网上称受控端)和客户端(官网上称控制端)都在已经提供了下载! 官网介绍 ...
- 远控木马上演白利用偷天神技:揭秘假破解工具背后的盗刷暗流
本文讲的是远控木马上演白利用偷天神技:揭秘假破解工具背后的盗刷暗流,如今,不少人为了省钱,会尝试各种免费的方法获取网盘或视频播放器的会员权限,网上也流传着不少"网盘不限速神器"或者 ...
最新文章
- python免费试听-Python
- python 类组合_python类与对象的组合与继承
- 用于大数据开发的Centos7操作系统安装过程中遇到的问题总结
- [LNMP]——LNMP环境配置
- 创建订单 - 保存订单与子订单数据
- 【测绘程序设计】视距测量神器V1.0(附源程序)
- 开发人员指南 Googlemap API教程
- (45)VHDL实现算术器
- 基于JAVA实现的WEB端UI自动化 -自动化测试简单介绍
- 弱电工程标书制作,从入门到精通
- wpl计算方法_用于计算加权路径长度(WPL)的C ++二叉树算法
- CSDN的C1-见习工程师能力认证相关知识(框架)
- javafx label设置字体大小_JavaFX-实现文本
- 为了讨好程序员,阿里云和 Costa 开了家码农咖啡馆
- win10开机蓝屏_终级解决win10蓝屏代码WHEA_UNCORRECTABLE_ERROR没有之一 心语家园
- 分享5款堪称神器的免费软件,建议先收藏再下载
- 用ch341a刷写主板bios
- 搜索引擎网站:网络和安全规划一个都不能少
- php 图片上加文字,php使用GD库实现图片上添加文字的方法(代码)
- 编写C# Windows服务,用于杀死Zsd.exe进程