本文介绍了在实验室环境下对一款无壳木马的分析过程,该木马在Windows XP上运行,利用Process、IDA和OllyDbg等工具进行分析。木马修改注册表,实现开机自启动,并创建下载任务。此外,它还创建spoolve.exe进程,写入fuck.ini文件,进行网络通信并尝试删除自身。通过API调用研究了其功能,包括设置自启动、下载远程文件和配置.ini文件,最后自我删除。
最近在实验室遇到一款木马,无花无壳,很简单,可以试试,很有意思。
实验环境:windows xp
实验工具:process,IDA,OLLDBUG
MD5: B656D3E3E2554878863B69EECD1B009F
SHA1: AA082E95556E934A4376742AB24F97CE638C69A1
CRC32: 77677EF9
1.打开process,运行程序1.exe,改变注册表项规则,同时它还有开机自启动的功能,并发现它创建了一个下载项DownLoad
2.发现在运行的同时创建了另外一个程序spoolve.exe,运行路径为C://windows/systems/spoolve.exe
在C盘目录下c://WINDOWS//system//fuck.ini创建文件
3.对1.exe进行网络行为的查找,有网络数据包的发送
将程序载入OD或IDA,进行分析
1.获取windows32下的系统文件夹路径c://WINDOWS//system//fuck.ini
2.若跳转不成功,获取当前线程的地址,copy文件至//windows/systems/spoolve.exe
3.同时,分析call sub_401510,在系统环境查找,经过500ms删除自身(RemoveDirectoryA),后面的lstrcpyA和lstrcatA应该是将1.exe的路径和spoolve.exe的路径链接
4.设置注册表开机自启动,在OD中我们可以更加清晰的看到
5.使用urldownloadfileA下载到本地,我们还发现下载的地址文档为http://121.12.115.10:123/ay/od.txt
6.获取版本号
7.配置.ini文件,个人认为应该是重新对.ini文件进行读写操作
8.删除自己
遇到不会的API上网查就行了,应该没问题,我分析的也不是很好,欢迎大家拍砖。
扫一扫
1625
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
