病毒专题丨 plugx病毒

最新推荐文章于 2024-10-16 10:32:53 发布
最新推荐文章于 2024-10-16 10:32:53 发布
阅读量258 收藏
点赞数
文章标签: 病毒 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_64973256/article/details/131599325
版权
该文章详细分析了一个RAR文件中的病毒,描述了其在Win7x86系统上的行为,包括创建文件夹、设置注册表自启动、网络活动以及使用shellcode进行DLL注入和提权等恶意操作。通过对病毒本体、wsc.dll及shellcode的静态和动态分析,揭示了病毒的复制、自启动设置、权限提升、进程控制及网络通信等功能。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、病毒简述

之前分析了一下,分析的较为简单,这次又详细分析了一下。
文件名称
00fbfaf36114d3ff9e2c43885341f1c02fade82b49d1cf451bc756d992c84b06
文件格式
RAR
文件类型(Magic)
RAR archive data, v5
文件大小
157.74KB
SHA256
00fbfaf36114d3ff9e2c43885341f1c02fade82b49d1cf451bc756d992c84b06
SHA1
1c251974b2e6f110d96af5b23ad036954ba15e4e
MD5
c1c9624b21f71e4565b941a37db3815a
CRC32
59832D3D
SSDEEP
3072:c8BHz/pBz9AycS0lEm2DchuhmE62duNkKa2W75u57cXehC9v:cgz/pnUS5chuHfu/aTI4Xeha
TLSH
T1A8F323A63B4FFB50C74C35A6EC2B4D09068B929D14CBB6093F14C7722F5A0667D1BB92
Tags
rar,contains_pe

二、环境准备

系统版本

Win7x86

三、行为分析

打开火绒剑监控:

 

转存失败重新上传取消

可以看到这里创建了文件夹,文件夹中创建了三个文件。最后有设置了注册表自启动,并退出当前进行,启动了拷贝入新目录的进程。

 

转存失败重新上传取消

之后就是很多的网络链接。

最低0.47元/天 解锁文章
PlugX变体已经悄悄更改源代码且正式更名为THOR
HBohan的博客
08-23 829
在2021年3月监测Microsoft Exchange Server攻击时,Unit 42研究人员就发现了一个PlugX变体,该变体是作为漏洞利用后远程访问工具 (RAT) 传送到其中一台受感染服务器的。 Unit 42 观察到该变体的独特之处在于它包含对其核心源代码进行了更改:将 “PLUG”替换为“THOR”。最早发现的 THOR 样本是 2019 年 8 月,它是已知最早的更名代码后的样本。在此变体中观察到了新功能,包括增强的有效载荷传送机制和滥用受信任的二进制文件。 PlugX 于 2008 年首
一例plugx样本的分析(AcroRd32cWP)
好好学习,天天向上
11-14 969
这个plugx样本是一个典型摆渡型窃密木马,使用分离免杀和白加黑侧加载的方式来躲避检测。解密后的payload是一个反射型的dll,有点像CS的beacon。样本中的api地址都是使用LoadLibrary和GetProcAddress来获取,给静态分析带来很大的工作量。通过U盘进行传播,远控模块比较复杂,目前C2地址已经失效了,但是对于隔离网用户来说,还是有一定的失泄密隐患。
APT样本分析 -plugx家族RAT⽊⻢
人饭子的博客
11-06 1186
APT样本分析 - plugx家族RAT⽊⻢ ⼀、样本概述 样 本 从 海 莲 花 服 务 器 扒 下 来 的 ( 经 提 醒 修 改 , 原 先 错 误 归 类 为 海 莲 花 ) , wsc_proxy.exe执⾏后加载wsc.dll解密wsc.dump⽂件,得到攻击模块(dll),攻击模块注⼊⾃身到系统进程后连接远控服务器上线,接收执⾏远控功能。远控功能包括:管 理系统、⽂件、屏幕、进程、...
研究人员发现了具有 250 万个唯一 IP 的 PlugX 恶意软件服务器
网络研究观
04-30 3572
研究人员发现了 PlugX 恶意软件变体的命令和控制服务器。
大量远控源码
热门推荐
skykingf的专栏
10-10 1万+
大量远控源码   转自 http://yuan71058.blog.163.com/blog/static/3395950820131213625704/ http://115.com/file/e7ze7re1# 内部源码.zip http://115.com/file/e7zda2zu# 败笔vip远控3.0源码.rar http://115.com/file/c2d
波动性插件深度解析:从 PlugX 到 Andromeda 的技术演进
PlugX配置提取插件旨在从内存中提取PlugX恶意软件的配置信息,这对于分析PlugX恶意软件的活动和行为至关重要。 Andromeda也是一种已知的恶意软件家族。Andromeda配置提取插件能够定位并提取用于Andromeda恶意软件...
Plug X-crx插件
04-02
语言:English Plug.DJ的高级功能 无缝集成使您可以在不伤脑筋的情况下为Plug.DJ增压。 Plug X提供了市场上所有扩展中最多的功能。 市场上的第一个也是唯一一个扩展,具有完全实现的聊天弹出窗口和表情符号建议。...
Star Rat 3.1远控源码
07-18
描述中提到"没做免杀",这意味着源代码中没有包含反病毒检测规避的技巧。免杀技术是恶意软件作者用来避免被安全软件检测到的方法,例如使用加密通信、动态生成代码或者模仿合法进程的行为。对于安全专家来说,研究...
屡禁不止:一个敢于将自己注入到杀毒软件中的斗士
weixin_34290390的博客
09-14 1022
本文讲的是屡禁不止:一个敢于将自己注入到杀毒软件中的斗士, PlugX恶意软件可以算是攻击界的老前辈了,自2012年被曝光以来,它就以各种形式被黑客利用,截至目前它还一直活跃在攻击的最前沿。关于其长盛不衰的攻击功能,已经有很多个机构对其进行了研究,比如: 1.由Circl机构发布的“TR-12-用于针对性攻击的PlugX恶意软件变体的分析”。 2.由...
【高级持续性威胁追踪】来自Mustang Panda的攻击? 我兔又背锅了!
further_eye的博客
01-05 2132
Mustang Panda 是CrowStrike最早披露的一个APT攻击组织,该组织主要使用的后门是PlugX,CobaltStrike。因为PlugX是一个中国人开发的。所以很多安全公司发现有PlugX的攻击,就宣称这些攻击来自于中国。
远控完整版源码(模块齐全)
最新发布
gitblog_09781的博客
10-16 665
远控完整版源码(模块齐全) 【下载地址】远控完整版源码模块齐全 远控完整版源码(模块齐全) 项目地址: https://gitcode.com/open-source-toolkit/cae63 ...
HackingBackRATs
weixin_30823833的博客
09-07 213
Hacking back RATs 作者:Hiina@NiXiTeam 在 blackhat2017,@professor__plum 爆料了几款常见远控(Xtreme、PlugX、Gh0st)的远程溢出。随后 msf 也更新了 EXP,并给出了测试用例。 模拟测试 Gh0st 首先测试 gh0st,这款远控比较久远了,大家应该很熟悉了。 运行 gh0st,得知默认监听端口为80,测...
网络安全PlugX变体已经悄悄更改源代码且正式更名为THOR
baidu_41678158的博客
01-03 380
在2021年3月监测Microsoft Exchange Server攻击时,Unit 42研究人员就发现了一个PlugX变体,该变体是作为漏洞利用后远程访问工具 (RAT) 传送到其中一台受感染服务器的。 Unit 42 观察到该变体的独特之处在于它包含对其核心源代码进行了更改:将 “PLUG”替换为“THOR”。最早发现的 THOR 样本是 2019 年 8 月,它是已知最早的更名代码后的样本。在此变体中观察到了新功能,包括增强的有效载荷传送机制和滥用受信任的二进制文件。PlugX 于 2008 年首次
深度:远控木马Posion Ivy开始肆虐缅甸和其它亚洲国家
weixin_34109408的博客
07-03 725
臭名昭著的远程控制木马Poison Ivy(后面称作PIVY)最近开始重新露出水面。并且出现了一些新行为。过去一年,已经发现PIVY为了种种企图攻击了许多亚洲国家。 Palo Alto Network的Unit 42最近发布博文,一个被称为SPIVY的新Posion Ivy变种正在攻击香港活动家,它使用DLL旁加载(DLL sideloading),并且...
Bo2k v1.15源码分析与远程控制工具开发学习
weixin_42581846的博客
10-07 1225
本文还有配套的精品资源,点击获取 简介:"bo2k115_source" 提供了Bo2k远程控制工具的v1.15版本源代码。Bo2k 是一款让管理员远程管理计算机的工具,具有网络通信、进程控制、权限管理等功能。该源码包为开发者提供了研究网络编程、系统调用、安全性以及用户界面设计等多方面知识的机会,并且涉及了多种编程实践,如条件编译、反调试技术、日志记录和错误处理。通过分析这...
linux+远控源代码,PcShare - 源码下载|Internet/网络编程|远程控制编程|源代码 - 源码中国...
weixin_29765949的博客
05-15 397
Control_Server..............\Control_Client..............\..............\Control_Client..............\..............\..............\bin..............\..............\..............\...\Debug..............
Pluggy源码解读----hook函数调用执行过程分析
redrose2100的博客
11-11 1287
本文详细介绍了hook函数调用执行过程分析
RedLeaves和PlugX恶意软件是如何工作的?
weixin_33786077的博客
08-01 358
国家网络安全和通信集成中心了解到针对各个垂直行业的多种恶意软件植入,包括RedLeaves和PlugX。这些恶意软件是如何工作的?我们该如何应对? Judith Myerson:攻击者利用系统管理员的身份启动多种恶意软件,包括RedLeaves和PlugX。它们使用开放源代码PowerSploit,这是一个PowerShell工具,以供渗透测试人员攻...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

极安御信安全研究院

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值