吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 24014|回复: 84
上一主题 下一主题
收起左侧

[PC样本分析] 简易分析一个远控木马

   关闭 [复制链接]
跳转到指定楼层
楼主
FleTime 发表于 2019-7-31 15:50 回帖奖励
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 201 于 2019-7-31 16:28 编辑


之前,我在CSDN上下载软件,无意间下了个木马,见  https://www.52pojie.cn/thread-992894-1-1.html
之后,准备分析时,玩病毒玩的有点过,然后,电脑系统坏了~~~ 今天来补个分析。。

先把样本信息贴出来:
样本一名称:Fake Ninja 2.7 by Spirit终极版.exe (此为捆绑)
大小:1.12 MB (1,172,951 bytes)
MD5:B5E1077A1E2288CC6B796360F1530122

样本二名称:Server.exe (此为木马主程序)
大小:744 KB (761,344 bytes)
MD5:42BEAAF041F5E148B59BA94E1E664D47


虚拟机运行 “Fake Ninja 2.7 by Spirit终极版”,可见这个文件尝试打开另一文件


通过定位文件,我们发现“Fake Ninja 2.7 by Spirit终极版”生成了两个文件
一个是真正的“Fake Ninja 2.7 by Spirit”,另一个为“Server.exe”,显得十分可疑


随后,Fake Ninja 2.7 by Spirit终极版”运行了真正的程序,还在后台启动了“Server.exe


之后,这个名为“Server.exe”的木马安装包在系统目录下生成名为“360插件”的木马主程序,并伪装驱动文件设置系统属性和隐藏属性
随后,木马安装包通过注册表,设置木马主程序为开机自启后,启动木马主程序,
木马主程序通过后台启动IE浏览器,连接作者的服务器,下载其它病毒(作者的服务器已经打不开了)


木马安装包在系统目录下生成名为“uninstal.bat”的文件,并运行uninstal.bat
uninstal.bat 删除了木马安装包和自身
致此,分析完成~~~
与其说这是个木马,倒不如说这是个病毒下载器

uninstal.bat 指令如图

木马的部分运行过程如图

我在CSDN举报了此文件,此文件在CSDN已删除

病毒样本.7z (638.52 KB, 下载次数: 115)

第一次发病毒分析,如有不好请指出。。。


木马的执行流程~~~




免费评分

参与人数 29吾爱币 +26 热心值 +27 收起 理由
一睾人胆大 + 1 + 1 我很赞同!
Hmily + 5 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
念行者 + 1 + 1 用心讨论,共获提升!
兴奋剂里全是尿 + 1 + 1 用心讨论,共获提升!
西瓜zoe + 1 + 1 用心讨论,共获提升!
奥斯特 + 1 + 1 用心讨论,共获提升!
xieguanghe + 1 用心讨论,共获提升!
zq_hac + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
L浪子 + 2 + 1 谢谢@Thanks!
维尼的蜂蜜 + 1 + 1 热心回复!
佚丶名 + 1 + 1 用心讨论,共获提升!
老白啊 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
小猫咪P + 1 + 1 用心讨论,共获提升!
Springdome + 1 + 1 我很赞同!
zhao. + 1 热心回复!
dahu1221 + 1 + 1 我很赞同!
九兮酱 + 1 真棒
ekuriyalulu + 1 + 1 鼓励转贴优秀软件安全工具和文档!
dreamlivemeng + 1 + 1 牛逼
redzber + 1 + 1 用心讨论,共获提升!
xiaoyu940729 + 1 热心回复
去宇宙旅行 + 1 学习
Lecoeur + 1 + 1 热心回复!
s889977 + 1 用心讨论,共获提升!
zcylw + 1 我很赞同!
LaiLuo + 1 + 1 我很赞同!
huomy + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
rsndm + 1 + 1 为何不分析一下控制端的ip
LibertyCola + 1 热心回复!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

推荐
 楼主| FleTime 发表于 2019-7-31 16:12 |楼主
LibertyCola 发表于 2019-7-31 16:10
为什么举报不通过,ai

上次我没分析,刚才我举报时把这篇帖子和分析报告一起给官方了,CSDN已经把这个文件删除了
推荐
 楼主| FleTime 发表于 2019-8-6 21:24 |楼主
Boxkun 发表于 2019-8-6 21:19
请问您截图里的杀毒软件是什么 就是桌面回收站下方的那个 感觉挺不错的想整一个

System Safety Monitor
https://www.52pojie.cn/thread-29670-1-1.html

最后那个分析进程的是 Malware Defender
沙发
大伟伟小娜娜 发表于 2019-7-31 16:01
3#
 楼主| FleTime 发表于 2019-7-31 16:01 |楼主

还不够透彻,能力有限~~~
4#
LibertyCola 发表于 2019-7-31 16:10
为什么举报不通过,ai
6#
 楼主| FleTime 发表于 2019-7-31 16:19 |楼主
@rsndm 这个远控貌似会从 12567.ggii.net 下载其它病毒,现在这个网址已经打不开了
7#
iflower 发表于 2019-7-31 16:28
帮大佬顶贴。分析的不错,值得我们小白好好学习一下。
8#
andyling123 发表于 2019-7-31 16:31
不错,继续加油
9#
feelsoright 发表于 2019-7-31 16:35
666,见识了 ,解析的如此透彻,我也来学习一下。谢谢大佬分享
10#
我想问一下 发表于 2019-7-31 16:39
666666 分析不错
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-28 22:06

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表