木马病毒深度解析与逆向分析
一、病毒简介
SHA256:3110f00c1c48bbba24931042657a21c55e9a07d2ef315c2eae0a422234623194
MD5:ae986dd436082fb9a7fec397c8b6e717
SHA1:31a0168eb814b0d0753f88f6a766c04512b6ef03
二、行为分析
老套路,火绒剑监控:
这边可以看见创建了一个exe,又为他设置了注册表自启动;
这里是进行网络链接操作,同时不断获取信息保存文件到本地,这是请求的信息:
general-second.org-help.com/dl_ex1.png?m=000C29AB634E&NOTE=Ni4xIDogMC4wfDV8djEuMAo=
通过微步云沙箱在线进行扫描,结果如下:
三、静态分析
首先查查壳,这里并没有加壳,导入表信息更多是和网络操作有关的函数:
直接拖到IDA分析:
开局创建互斥体防多开,检测之后就到了关键else中:
3.1 sub_4011E0
这里是解密函数名和模块名,随后进行加载,获取地址,那么对于这种情况没有比动态调试更简单的方法了:
那么解密后的结果如下,根据这些函数也大致知道这个木马做了些什么事:
3.2 sub_403600
查看此函数获取路径:
那么此函数就是获取应用程序路径,继续向下看:
显而易见,这里是查看当前程序路径,如果不是自己拷贝的路径,就自我拷贝,然后在注册表设置自启动,运行成功弹窗。
3.3 sub_401580
GetAdaptersInfo:
Next
类型: 结构_IP_ADAPTER_INFO*
指向适配器列表中的下一个适配器的指针。
ComboIndex
类型:DWORD
保留。
AdapterName[MAX_ADAPTER_NAME_LENGTH + 4]
类型: char[MAX_ADAPTER_NAME_LENGTH + 4]
适配器名称的 ANSI 字符串。
Description[MAX_ADAPTER_DESCRIPTION_LENGTH + 4]
类型: char[MAX_ADAPTER_DESCRIPTION_LENGTH + 4]
包含适配器说明的 ANSI 字符串。
AddressLength
类型: UINT
适配器的硬件地址的长度(以字节为单位)。
Address[MAX_ADAPTER_ADDRESS_LENGTH]
类型: BYTE[MAX_ADAPTER_ADDRESS_LENGTH]
表示为 BYTE 数组的适配器的硬件地址。
Index
类型:DWORD
适配器索引。
当禁用并启用适配器或在其他情况下,适配器索引可能会更改,不应被视为持久性。
Type
类型: UINT
适配器类型。 适配器类型的可能值列在 Ipifcons.h 头文件中。
下表列出了适配器类型的常见值,尽管 Windows Vista 及更高版本上可能提供其他值。
Value 含义
MIB_IF_TYPE_OTHER
1
其他类型的网络接口。
MIB_IF_TYPE_ETHERNET
6
以太网网络接口。
IF_TYPE_ISO88025_TOKENRING
9
MIB_IF_TYPE_TOKENRING
MIB_IF_TYPE_PPP
23
PPP 网络接口。
MIB_IF_TYPE_LOOPBACK
24
软件环回网络接口。
MIB_IF_TYPE_SLIP
28
ATM 网络接口。
IF_TYPE_IEEE80211
71
IEEE 802.11 无线网络接口。
注意 此适配器类型在 Windows Vista 及更高版本上返回。 在 Windows Server 2003 和 Windows XP 上,IEEE 802.11 无线网络接口返回 MIB_IF_TYPE_ETHERNET的适配器类型。
DhcpEnabled
类型: UINT
一个选项值,该值指定是否为此适配器启用动态主机配置协议 (DHCP) 。
CurrentIpAddress
类型: PIP_ADDR_STRING
保留。
IpAddressList
类型: IP_ADDR_STRING
与此适配器关联的 IPv4 地址列表表示为 IP_ADDR_STRING 结构的链接列表。 适配器可以分配多个 IPv4 地址。
GatewayList
类型: IP_ADDR_STRING
此适配器的网关的 IPv4 地址,表示为 IP_ADDR_STRING 结构的链接列表。 适配器可以分配多个 IPv4 网关地址。 此列表通常包含此适配器的默认网关的 IPv4 地址的单个条目。
DhcpServer
类型: IP_ADDR_STRING
此适配器的 DHCP 服务器的 IPv4 地址,表示为 IP_ADDR_STRING 结构的链接列表。 此列表包含此适配器的 DHCP 服务器的 IPv4 地址的单个条目。 值为 255.255.255.255 表示无法访问 DHCP 服务器,或者正在达到。
仅当 DhcpEnabled 成员为非零时,此成员才有效。
HaveWins
类型: BOOL
一个选项值,该值指定此适配器是否使用 Windows Internet 名称服务 (WINS) 。
PrimaryWinsServer
类型: IP_ADDR_STRING
主 WINS 服务器的 IPv4 地址,表示为 IP_ADDR_STRING 结构的链接列表。 此列表包含此适配器的主 WINS 服务器 IPv4 地址的单个条目。
仅当 HaveWins 成员为 TRUE 时,此成员才有效。
SecondaryWinsServer
类型: IP_ADDR_STRING
辅助 WINS 服务器的 IPv4 地址表示为 IP_ADDR_STRING 结构的链接列表。 适配器可以分配多个辅助 WINS 服务器地址。
仅当 HaveWins 成员为 TRUE 时,此成员才有效。
LeaseObtained
类型: time_t
获取当前 DHCP 租约的时间。
仅当 DhcpEnabled 成员为非零时,此成员才有效。
LeaseExpires
类型: time_t
当前 DHCP 租约过期的时间。
仅当 DhcpEnabled 成员为非零时,此成员才有效。
那么这里就是获取主机的相关信息,根据后面格式化字符串可推测这里是获取网卡相关信息。
3.4 sub_401770
3.5 sub_402790
3.6 CreateThread
这里进入402520函数,里面有个关键函数402A50:
继续向下就是修改自启动注册表和屏保有关的注册表,拼接请求命令,通过cmd执行:
黑客/网络安全学习包
资料目录
-
成长路线图&学习规划
-
配套视频教程
-
SRC&黑客文籍
-
护网行动资料
-
黑客必读书单
-
面试题合集
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
1.成长路线图&学习规划
要学习一门新的技术,作为新手一定要先学习成长路线图,方向不对,努力白费。
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
2.视频教程
很多朋友都不喜欢晦涩的文字,我也为大家准备了视频教程,其中一共有21个章节,每个章节都是当前板块的精华浓缩。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
3.SRC&黑客文籍
大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录
SRC技术文籍:
黑客资料由于是敏感资源,这里不能直接展示哦!
4.护网行动资料
其中关于HW护网行动,也准备了对应的资料,这些内容可相当于比赛的金手指!
5.黑客必读书单
**
**
6.面试题合集
当你自学到这里,你就要开始思考找工作的事情了,而工作绕不开的就是真题和面试题。
更多内容为防止和谐,可以扫描获取~
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
