跳转到帖子

游客您好,欢迎来到黑客世界论坛!您可以在这里进行注册。

赤队小组-代号1949(原CHT攻防小组)在这个瞬息万变的网络时代,我们保持初心,创造最好的社区来共同交流网络技术。您可以在论坛获取黑客攻防技巧与知识,您也可以加入我们的Telegram交流群 共同实时探讨交流。论坛禁止各种广告,请注册用户查看我们的使用与隐私策略,谢谢您的配合。小组成员可以获取论坛隐藏内容!

TheHackerWorld官方

【病毒分析】41f205e9db461e3f70fd588cc01bb35bfe11cff

XenoG
XenoG
木马病毒分析

精选回复

发布于

41f205e9db461e3f70fd588cc01bb35bfe11cff

样本初析:

fzernfyp2ya3791.png

|Kaspersky | Trojan-Downloader.Win32.Carder.q|

|ESET-NOD32 | Win32/Glupteba.AF|

3sfxxrozmvv3792.png

maiqmbilboo3793.png

14:41:02:934,2E6682932F826269B0F84A93AAB9E609.85A681D7,1676:0,1676,BA_exec_extratedfile,C:\Users\lilwen\AppData\Local\NVIDIA Corporation\Update\d83665e11921a3e0525e1d4d9e1d04f1.exe,,0x00000000 [操作成功完成]

14:41:29:828,2E6682932F826269B0F84A93AAB9E609.85A681D7,1676:3512,1676,BA_register_autorun,C:\Users\lilwen\AppData\Local\NVIDIA Corporation\Update\daemonupd.exe /app 2B42CDC8B1EDBFEC23AA442F8F7EF3D9,type:'Common/Run' ,0x00000000 [操作成功完成]

14:41:29:859,2E6682932F826269B0F84A93AAB9E609.85A681D7, 1676:3512,1676, BA_register_autorun,C:\Users\lilwen\AppData\Local\Google\Update\gupdate.exe /app 2B42CDC8B1EDBFEC23AA442F8F7EF3D9, type:'Common/Run' ,0x00000000 [操作成功完成]

14:41:36:848,2E6682932F826269B0F84A93AAB9E609.85A681D7,1676:0, 1676,BA_exec_extratedfile,C:\Users\lilwen\AppData\Local\NVIDIA Corporation\Update\daemonupd.exe,,0x00000000 [操作成功完成]

00405B66 获取临时文件路径 创建临时文件 获取系统目录 删除文件 该临时文件的文件名后面的数字是随机的

stptrbwbzja3794.png

00403381 CALL 2E668293.00403208 如果路径下为空 则创建目录

idtbgeljfcf3795.png

0040588C 获取临时文件路径 生成新的临时文件

gzm1v3esjbx3796.png

获取临时文件路径 获取系统目录 删除文件

4abmvnnuf1z3797.png

vbj2vimxets3798.png

0KB

删除该文件

ujfowmoh2tu3799.png

fr2ix4k5jio3800.png

0kb

这个流程重复创建删除了三次

创建文件夹,文件夹为null,所以不出现新文件夹

kn4vba0zvs33801.png

创建目录google/update

v5wqdhtxzz03803.png

5y4dte20n243809.png

生成了一个可执行文件

jnwawyfmsrw3811.png

运行该可执行文件

qovj3ajvnjw3815.png

2q504zk2fq13819.png

关闭该程序

s2qu0yin52d3821.png

nmb2z1xmmid3825.png

修改开机项

by4ippuoley3829.png

修改注册表信息

krjj3pgclvq3830.png

3sfxxrozmvv3792.png

关闭注册表

kwfjcrukgza3831.png

在路径下创建一个空文件夹

sell4zjpm5p3832.png

然后把调用SHFileOperationA函数来复制之前生成的d83665e11921a3e0525e1d4d9e1d04f1.exe到该目录下并被重命名为gupdate.exe

3rhhsof3jk13836.png

chwquxrsfxi3839.png

为gupdate.exe创建注册表

4joynwpqo3h3842.png

设置注册表键值

i3gbgxctu3a3846.png

关闭注册表

hm3upvj1ws23849.png

调用SHFileOperationA函数来复制之前生成的d83665e11921a3e0525e1d4d9e1d04f1.exe到C:\Users\lilwen\AppData\Local\Microsoft\Windows\目录下并被重命名为winupdate.exe

23qqj1ocijf3852.png

为winupdate.exe创建注册表

设置注册表键值

关闭注册表

yssynfovtkv3855.png

搜索C:\Users\lilwen\AppData\Local\NVIDIA Corporation\Update\daemonupd.exe

vztfjlgglex3859.png

调用MoveFileA函数来重命名程序

txuxa1bcluj3862.png

执行文件

r2uj0apkfms3866.png

关闭

qzngexc04nu3869.png

找原件 自删

f0wzo3rc3203873.png

继续搜索原有程序d83665e11921a3e0525e1d4d9e1d04f1.exe是否存在存在就再自删

sv3vobpgo1x3876.png

检查2E6682932F826269B0F84A93AAB9E609.85A681D7是否存在,存在就自删

由于用OD已加载程序,所以删除失败,正常可以自删母体程序

后面的代码都是对原样本的操作,搜索目录、终止进程、关闭句柄,由于使用OD加载了 所以无法对其操作

oblnkzopqhr3879.png

远控木马

创建帐户或登录后发表意见

转到主题列表

最近浏览 0

  • 没有会员查看此页面。