真人番摊官网关注互联网产品管理,交流产品设计、用户体验心得!

吃鸡辅助远控木马分析

时间:2019-06-12 00:53 来源:未知 作者:admin

  平安卫士拦截到带木马的荒原求生辅助通过论坛、大量传布。木马运转后,能够近程节制用户电脑,进行肆意操作,并将中招电脑作为傀儡机,进行攻击,严峻风险小我消息平安和收集次序。

  带木马的荒原求生辅助免得费形式发布在平民论坛中

  带木马的荒原求生辅助运转后界面如下

  该荒原求生辅助被用户下载运转后会释放运转两个木马文件:“过CRC检测.exe”和“防封插件.exe”。此中“防封插件.exe”,是一个远控木马,能够窃取用户电脑中的消息,下载施行肆意文件。别的一个“过CRC检测.exe”,是一个DDOS木马,按照黑客指令进行定向攻击。

  防封插件.exe是一个加密木马的载体,该文件运转时会解密出具有远控功能的dll文件,并在内存中加载施行。

  木马作者加密木马法式后,把加密数据作为全局变量存储在防封插件.exe法式的全局数据区。

  解密木马的功能位于防封插件.exe法式的非常处置里。由法式自动抛出整型非常,进入响应的非常处置函数,解出木马。

  解密后的木马是一个dll文件。

  防封插件.exe通过PELoader的方式,在内存中映照解密后的dll文件,并挪用Dllmain施行。

  然后计较导出函数ForShare82的位置,挪用导出函数。至此,木马本体曾经完整加载到内存并运转。

  Dll木马具有远控功能,控礼服务器地址:27.126.188.68,端口:522。该法式包含键盘记实、下发文件、注册表节制、办事节制等功能。

  键盘记实功能:判断键盘输入的内容,然后格局化键盘消息,过滤特殊按键(SHITF、CTRL等),最初重构成完整的输入消息,写入文件。

  截屏功能:获取分辩率消息,然后进行截屏操作。

  其他节制功能:

  过CRC检测.exe法式按照注册表项能否具有,判断法式能否第一次运转,初次运转会施行分歧流程。

  将本身以随机文件名拷贝到windows目次下

  将拷贝后的文件注册为主动启动的办事,办事名.Net CLR。

  删除原始木马文件。

  因为初次运转时注册了办事,所以样本作为办事二次启动的时候就会进入另一个流程。

  hra33.dll被加载之后,DllMain中当即运转恶意行为,遍历用户磁盘文件,每当发觉一个exe文件时,便将本身拷贝到exe文件目次下,并将本身重定名为lpk.dll。

  局域网传布顶用到的部门用户名和弱口令

  图26远控线

  利用近程号令行参数启动IE

  更新木马文件

  通过对恶意样本的阐发,找到了域名z*******g.bid

  若是发觉来历不明的文件,通过平安软件(如360平安卫士)进行查杀,

  请泛博用户在利用安装包及时扫描查杀,避免利用未知来历的可疑软件。

  关注 互联网的一些事 官方微信,回复" 804 " 即可在微信里阅读本篇内容。

  在查找公众号中搜索:织梦58,或者扫描下方二维码快速关注。

围观: 9999次 | 责任编辑:admin

回到顶部
describe