【旧文】浅析_网友说的过火绒的远控
浅析:网友说的过火绒的远控
【文件名称】:DNF5天号解封教程.exe
【HA256】 :3504ec84a6efb00010064e3abb1d0ae5e38883ce0abbd7c1ad7245eeb3a05bcd
【运行环境】:win7
【远控服务器】:腾讯云——132.232.36.190
【使用工具】:OD WINHEX PEID EXEINFO Malware Defender
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------��
今日有网友在群里诶特我说有个远控可以过火绒 火绒查不出来 索性就下载来看看
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
0x00 上手先查壳然后发现没壳(听说过火绒????)
我寻思第一眼看上去没啥子区别呀
DNF5天号解封教程.exe 样本行为
键盘记录
%!(EXTRA markdown.ResourceType=, string=, string=)
写入文件 C:\Users\ADMINI~1\AppData\Local\Temp\\csrss.exe
通过对这个主程序的分析 主要敏感的行为还是只有这一个文件写入的动作 所以我把目光放在了csrss.exe这个被写入的文件
Csrss.exe分析
可以看到作者把他伪装成了一个360安全卫士的隔离区模块
但是具体真是这样吗?
查壳后发现是UPX的(咋干坏事都用UPX呢?)
UPX脱壳方法就不说了 上脱壳机就完事了
GOGOGO GKD!
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
0x01
Csrss.exe样本行为
获取系统信息
%!(EXTRA markdown.ResourceType=, string=, string=)
设置数据跟踪
创建服务并写入Bat
但是发现了一点问题 这本是一个批处理 但是怎么会有DOS头????还有区段????
接着看
创建服务
创建服务
然后接着程序自动退出!!!
并且删除自身
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
0x02
Shennong.bat行为分析
当时我看到这个东西的时候我人都傻了 我读书少别骗我 Bat文件有Dos头????
这是我自己弄的一个exe
改成Bat之后一样可以查到编译器等信息
这是一个真Bat
那么具体就看看这个到底做了什么吧!!!
创建服务
跟那个exe是同样的操作
通过抓包知道了这玩意是远控
真就是得不到就远控呗
创建服务就是为了持久性控制受害者电脑呗
这个Bat反正用户关掉就自动重启 关掉就自动重启 持久性的控制
比起远控 我更好奇沙雕网友说的 火绒不检测
运行流程
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
0x03
杀软免杀测试,毕竟实践出真知!
为了模拟最真实的测试情况,直接运行程序和扫描样本 不提取等操作
- 腾讯电脑管家
指定扫描
直接运行
2.360安全卫士
指定位置扫描
直接运行
3.重头戏 火绒安全卫士
指定位置扫描
直接运行
这…沙雕网友。。
扫描二维码推送至手机访问。
版权声明:本文由UzJu的安全屋发布,如需转载请注明出处。
SQL ERROR: ERROR 1105 (HY000): XPATH syntax error: '~root@localhost'
