吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 94934|回复: 235
收起左侧

BanID:暴尔丶【发布软件捆绑远控】

    [复制链接]
LCG 发表于 2016-1-19 11:30
BanID:暴尔丶【发布软件捆绑远控】

在举报区收到@8号社区 同学发出的举报 http://www.52pojie.cn/thread-458909-1-1.html ,说软件有木马,之后@山顶的一棵草 同学也跟进贴出分析,最后Hmily介入调查确认确实捆绑木马,下面给大家回顾一下分析过程,这个捆绑的木马行为比较简单,适合大家分析,它是一个远程控制木马。

一:由于行为比较简单,直接做描述吧(安全起见请在虚拟机中进行分析):
1、运行捆绑木马的主体文件“车主破解版.exe(MD5: BC1239CEB1D7A24F8376F0F5A50B59B4)”,友情提醒这个木马加了SE壳,并且勾选了壳的反虚拟机功能,所以大家可以使用吾爱破解的虚拟机可以绕过,我这里用ximo大神做的神器,点一下就可以绕过所有的反虚拟机调试,不再赘述。

1.png

2、点破解就触发运行木马了,可以看到木马被释放在C:\Program Files\winlogom.exe(MD5: 535A422C89E9B61235240914AFB29BE6)并启动(我用的是System Safety Monitor(SSM),爱盘有下载)。

2.png

3、我们看看这个释放出来的木马都干了什么,继续让它运行,发现它联网下载(http://118.193.172.24/4.dll)一个木马dll(加密的)放到C:\Program Files\4.dll,并且把自己复制到这个目录运行C:\WINDOWS\Terms.EXE.exe

3.png

4、到这里捆绑释放运行的整理工作结束了,后面就是Terms.EXE.exe木马自己开始干活了,Terms.EXE.exe运行后先去下上面那个dll来更新,然后添加一个启动项自启动,再申请一段内存,把上面下载下来的4.dll解密并内存加载起来执行,这个dll解密出来其实叫NetSyst76.dll,加了upx壳,后面我打包给大家,实际的所有远控功能都在这个dll里,exe其实只是做load和更新功能,大家可以直接调试分析看看。

4.png

木马样本打包(包括解密出来的dll和脱壳后的dll)【解压密码:52pojie】:
木马样本.7z (1.53 MB, 下载次数: 441)

二:如何查杀,经过上面分析就知道很简单了,直接结束掉Terms.EXE.exe这个进程并删除文件其实就可以了,虽然上面其他那些文件都不运行,完美期间可以把启动项也删除,还有上面提及到的那几个文件一并删除。

三:1、放木马人的信息如下:
姓名:李奎
支付宝账号:319029590@qq.com
使用服务器:118.193.172.24

我们已经将木马和上线信息提供到360病毒分析组,360可以查杀,并且提供给网安,有支付宝信息,网警很容易落实到他本人。

2、虽然论坛有很多高手,但我们希望提供做有人的安全意识和识别能力,看上述我的分析是不是很简单,没有代码只有行为拦截分析,我想这你也可以做到,不如来试试。

3、大家对于新注册会员发布的内容请多加注意,有能力分析出问题的可以帮助我们尽快举报,大家合力保卫论坛安全



想对那些涂怀不轨的人说,你在吾爱破解这样的技术论坛玩这种小伎俩,分分钟就给你剥皮把肉看得清清楚楚了,这里都是活跃在互联网安全界的精英,任何小动作就是自讨苦吃,奉劝那些蠢蠢欲动的人,尽快走入正途,不要误入歧途!

最后感谢大家一直以来对吾爱破解论坛的支持和维护,论坛安全离不开大家监督,任何违法违规的行为都逃不过大家的眼睛和管理的审查,对待此类*渣论坛绝不手软,坚决处罚到底!

点评

那么多年了 脑残依旧没少过唉  发表于 2016-2-3 07:50
支付宝登录密码限制,然后短信找回密码。哈哈这逗B,支付宝给他限制了  发表于 2016-1-19 17:56
敢和吾爱大神较量?简直作死!  发表于 2016-1-19 12:41
版主快来加精,这不加精,天理难容。  发表于 2016-1-19 12:28
求ximo大神做的神器,点一下就可以绕过所有的反虚拟机调试 好厉害的样子 能放出来用用?  发表于 2016-1-19 11:36

免费评分

参与人数 128吾爱币 +5 热心值 +128 收起 理由
zcwapjw + 1 + 1 我很赞同!
gamezx + 1 + 1 ximo大神的反虚拟机神器共享一份好吗
infan + 1 就为了这种负责的态度,必须点赞
liphily + 1 + 1 我很赞同!
Bzz123 + 1 谢谢@Thanks!
会游泳的狗 + 1 + 1 我很赞同!
小影热爱这时代 + 1 + 1 你这神,要不要那么大啊!
双喜中国 + 1 最讨厌这种偷偷摸摸的,欺负我们广大的小市民。
1162888568 + 1 我很赞同!
有礼貌的牛 + 1 楼主精神令人感动,传递正能量
911061873 + 1 谢谢@Thanks!
diaoxingyu + 1 这个家伙盯上吾爱了
huacha + 1 "姓名:李奎"?分明是李鬼!
610100 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
wahejiahua + 1 鼓励转贴优秀软件安全工具和文档!
文丶 + 1 谢谢@Thanks!
420130 + 1 真是醉了,。还有逗比来吾爱作死~!!!
phptools + 1 我用过这文件,也是那段时间被盗了资料
Unicode + 1 他们这些人想干嘛
白粥的白昼 + 1 热心回复!
枫MapleLCG + 1 热心回复!
流光Streamer + 1 这些宵小,不要太可笑了
hdy19 + 1 用心讨论,共获提升!
shriy + 1 我很赞同!
iijjwq + 1 我很赞同!
wj635811102 + 1 我很赞同!
吾爱破解1990 + 1 热心回复!
ziye1969 + 1 这么多年了,还有人玩远程控制(⊙﹏⊙)b .
a4778006 + 1 我很赞同!
金马工作室 + 1 我很赞同!
137063982 + 1 用心讨论,共获提升!
丘比特 + 1 我很赞同!
lf2640515787 + 1 我很赞同!
34766553 + 1 已经处理,感谢您对吾爱破解论坛的支持!
Mr.Mlwareson_V + 1 感谢您的宝贵建议,我们会努力争取做得更好.
爱破解无爱 + 1 我很赞同!
zwdragon + 1 用心讨论,共获提升!
vxoo01 + 1 热心回复!
扬扬扬 + 1 我很赞同!
siyou + 1 我很赞同!
半颗糖也很甜 + 1 我很赞同!
qck326883927 + 1 我很赞同!
輕風微雨 + 1 我很赞同!
JaysongCip阿松 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩.
w3344er + 1 热心回复!
zdx + 1 谢谢@Thanks!
挚爱破解 + 1 热心回复!
简丶 + 1 我很赞同!
mayidj + 1 我很赞同!
bbvbvbbv + 1 我很赞同!
panpcj + 1 要是这些评分都给我的话23333不敢想象...
wubudomain + 1 谢谢@Thanks!
只体版新 + 1 SSM提示我的win8无法安装
NOlimit + 1 我很赞同!
whiteb1234 + 1 我很赞同!
viptv + 1 谢谢@Thanks!
佳琪丶 + 1 谢谢@Thanks!
夏日miku + 1 用心讨论,共获提升!
薄年再无木小白 + 1 已答复!
zhangyuhang666 + 1 我很赞同!不过没人会用自己支付宝做这种事.
万军 + 1 我很赞同!
hyiok123 + 1 我很赞同!
爱情没有转角 + 1 活该
catchyrime + 1 我很赞同!
ai1261107529 + 1 我很赞同!
FIUBU + 1 我很赞同!
imxyu + 1 我很赞同!
wang11763 + 1 用心讨论,共获提升!
梦无痕浪迹天涯 + 1 吾爱发木马 真是作死
wuwanga + 1 我很赞同!
梨梨梨梨梨梨 + 1
雷霆 + 1 热心回复!
xiaoyaoyou + 1 我很赞同!
反反复复ssss + 1 我很赞同!
zhuanshu721520 + 1 我很赞同!
查理大弟 + 1 用心讨论,共获提升!
lsb2015721 + 1 我很赞同!
cxt + 1 我很赞同!
风之语翼 + 1 热心回复!
蜗飞牛 + 1 热心回复!
小蓦360 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩.
zysmohun + 1 活该啊
13866890602 + 1 我很赞同!
一头文盲 + 1 以后可以按照这个方法来检查下载的软件了
xue81207 + 1 谢谢@Thanks!
罗子俊 + 1 谢谢@Thanks!
十三行 + 1 我很赞同!
mm52013614 + 1 辛苦大大保卫菜鸟
katkat + 1 我很赞同!
渝A99999 + 1 求ximo大神做的神器
冷幽月 + 1 对于这种渣渣,在论坛上骗来骗去最讨厌了
farcan + 1 涂怀不轨?应该是图怀不轨!
jdz1812 + 1 谢谢@Thanks!
xiangzi567 + 1 我很赞同!
k18556 + 1 已答复!
梦想yun + 1 热心回复!
pp775852100a + 1 神器是不是发出来哇
yzh2004 + 1 用心讨论,共获提升!
10hack + 1 这个逼我给满分,赞一个
风吹屁屁凉 + 1 用心讨论,共获提升!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

头像被屏蔽
搬砖 发表于 2016-2-12 00:40 来自手机
提示: 作者被禁止或删除 内容自动屏蔽
吾学破解 发表于 2016-2-1 22:54
lianyetuotao 发表于 2016-2-1 15:32
大概只有个spyshelter正常更新了吧,其他都是杀毒为主功能,带hips,毛豆变大了不少,再其他旧的都是新系统没 ...

感谢 这个还真没听过 毛豆没敢用呢 因为杀毒用的红伞 怕冲突  哪天试试你推荐的这个SPY
头像被屏蔽
灬小数学 发表于 2016-1-19 11:34
夜之零落兮 发表于 2016-1-19 11:38
前排出售花生米。    分析的漂亮

点评

老板、来瓶农夫三拳!  发表于 2016-3-15 16:54
2317909768 发表于 2016-1-19 11:38
前排出售花生米,瓜子,可乐。    吾爱MM分析的漂亮

免费评分

参与人数 1热心值 +1 收起 理由
Lion-R + 1 水比,好久不见!

查看全部评分

无意之过 发表于 2016-1-19 11:40
坏蛋真多啊   小白人怎么办  
飘浮 发表于 2016-1-19 11:42
支持管理员,支持吾爱。。
过儿爱龙儿 发表于 2016-1-19 11:43
前排赞叹分析的漂亮!
酒醒黄昏 发表于 2016-1-19 11:46
办的好    放马放到这来了  
头像被屏蔽
小白石 发表于 2016-1-19 11:47
提示: 作者被禁止或删除 内容自动屏蔽
912512060 发表于 2016-1-19 11:49
支持,网络安全靠大家
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 提醒:禁止复制他人回复等『恶意灌水』行为,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-29 03:22

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表