传统白加黑远控木马分析

概述:

病毒冒充成一个DLL文件,QQ游戏启动的同时,病毒DLL也会被加载启动。病毒加载之后,会在内存中开释出远控模块,经由过程建立本地端口映射的要领,意图绕过某些安软的收集拦截,从而节制目标谋略机。

病毒目录文件如下:

整体流程如下:

具体阐发:

1、启动要领:

首先,病毒作者将关键文件整个暗藏打包了起来,只留明晰一个快捷要领,经由过程调用CMD的要领,打开目录下的QQ游戏大年夜厅法度榜样:

而QQ游戏大年夜厅法度榜样在启动的历程中,会去加载一个名为:factory.dll的文件,因为Windows本身所设定的DLL加载顺序,目录下的这个factory.dll文件将会被QQ游戏大年夜厅所加载:

2、factory.dll

将原版factory.dll和这个病毒的factory.dll进行对照,发明后者多了一些额外的导出函数,仔细察看以致还会发明,后者有两个导出函数的地址竟然相同,平日一个正常的DLL文件不会这样:

在factory.dll的导出函数中,被调用的是CreateFactorys函数,这个函数的主要感化是履行病毒的初始化安装操作:

在病毒的初始化安装操作中,会先获取加载当前DLL的模块的路径,然后反省此路径下是否存在io.dat文件(被加密的DLL文件),若不存在则直接退出,预测是用这种措施来反自动化检测法度榜样,防止被发明。若文件存在,则读取到内存中,然落后行解密操作,解密出来发明是另一个恶意DLL文件(远控的核心部分):

此处所应用的解密算法,经由过程比较LZMA的压缩算法库(右边是LZMA压缩库的源代码),可以看出,作者采纳的着实便是LZMA压缩库:

解密io.dat文件到内存,并且完成校验(反省是否有正常的PE布局)后,将会被加载履行:

法度榜样运行后,会去获取这个新DLL的导出函数地址,并且经由过程判断当前加载模块的名称是否含有crossfire.exe字样,来履行不合的功能(由于病毒成功加载一次之后,会将文件名改成crossfire.exe,以是从文件名就能够判断是否是首次加载):

3、解密出来的新DLL

这个新DLL拥有2个导出函数QtxVGA和Update,早年面的阐发我们可以得知:Update函数用于首次加载履行,而QtxVGA函数用于非首次加载履行。

(1).Update导出函数

在Update函数中,病毒会首先检测是否存在360的进程,若存在,则直接退出。接着,经由过程反省互斥体(c91fbfd3142a697886)的存在,来判断系统是否已经被感染,以确定是否是否继承履行,若未感染,则继承履行。

接着,将同目录下的文件整个复制到C:\Users\Administrator\AppData\Roaming\MenuStar,并将加载模块的重命名为crossfire.exe:

为了不让双击快捷要领的人孕育发生狐疑,病毒还会开释打开一张筹备好的图片,让人放松鉴戒,图片被加密保存在了temp,dat文件中,解密后调用敕令行打开图片:

图片打开之后,病毒会以无窗口的形式运行crossfire.exe,并且在在C盘下创建kwoyou.ini文件,来保存记录病毒运行的日志:

[1] [2]下一页

(2).QtxVGA导出函数

函数一开始会去读取之前的日志文件,然后会创建一个线程去设置设置设备摆设摆设电脑上的收集代理信息,假如存在360的话,还会设置设置设备摆设摆设端口转发,将96端口的造访整个转发到116.28.191.115:96上去。

此处设置端口转发的目的,是和目标办事器之间建立SSH地道连接,从而绕过防火墙的拦截(预测。。。)。将本机的某个端口(96)转发到远端指定机械的指定端口(116.28.191.115:96);本地端口转发是在localhost上监听一个端口,所有造访这个端口的数据都邑经由过程SSH地道传输到远真个对应端口。

接着,就进入到了远控的关键函数F_HackKernelModule_0了。

在F_HackKernelModul_0中,主要包孕了两方面的内容:

1、获取谋略机的IP、名称、系统版本号等信息,加密送给黑客。

2、根据黑客发来的指令,履行响应的操作,如:关闭注销系统、读取模拟键盘、鼠标的操作、屏幕监控、改动注册表、系统办事等。

详细如下:

1、对键盘、鼠标、剪切板的操作:

2、对硬盘文件的操作:

3、对系统办事的操作:

4、记录按键记录,并保存到dump.log文件中:

5、对注册表的操作:

6、获取屏幕监控截图:

病毒的远控地址为:116.28.191.115:947(已下线)。别的,病毒在与节制端建立连接是,并未直接连接,而是在系统本地使用netsh,创建了一个本地的端口代理:

预测创建端口代理的做法,是为了暗藏其所创建的收集连接,当用户在查看收集连接时,不会被发明该连接是由病毒自身所创建:

上一页[1] [2]

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包