本帖最后由 kangkai 于 2015-11-10 13:06 编辑
// 晚上再来补充一点别的信息吧,样本来源于某个朋友
一、详细分析 1. 木马特点
木马作者精心构筑了一个层层利用的方式,通过执行白exe文件,加载白dll文件,最后通过dll文件加载ocx文件来解密ocx文件中的shellcode,最终通过解密的shellcode来执行最终的远控功能。
2. 流程图
3. 木马执行流程
3.1 在%program%木马释放一个私服文件,并执行迷惑用户在启动私服游戏
私服登录器启动界面如图
3.2 在%program%和%Windows NT%释放木马执行文件
3.3 执行winit.exe文件,并加载potplayer.dll
3.4 potplayer.dll动态链接库文件加载后,会加下同目录下的Torchwood.ocx文件,
Torchwood.ocx文件为真正的远控代码所有者。通过读取Torchwood.ocx中的shellcode
来执行远控操作。对shellcode解密后发现这段shellcode为pe文件
3.5 通过抓包工具去抓取远程地址发现为一个IP地址,但是没有数据传回,可能这个地址已经失效了
3.6 我来看看dump出来的这段pe文件,用winhex发现有一段加密的字符串
通过OD对这段加密字符串解密,发现是一张图片,但是已经失效了
| 
[复制链接]
发表于 2015-11-10 13:00
发表于 2015-11-11 09:53
发表于 2015-11-10 13:03
