zbot木马分析

最新推荐文章于 2023-05-18 10:47:10 发布
最新推荐文章于 2023-05-18 10:47:10 发布
阅读量2.5k 收藏 1
点赞数 2
分类专栏: 病毒木马
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011636170/article/details/53282157
版权
本文详细解析了Zbot木马的四个阶段行为:从释放样本到临时文件夹,生成开机自启动,遍历进程注入,到最后的自我清除。该木马利用多态变形技术逃避传统杀软查杀,并通过注入进程、修改注册表等方式实现恶意操作,如关闭IE反钓鱼过滤器、清理Cookies、篡改安全设置等。
摘要由CSDN通过智能技术生成

木马属于zbot木马家族,并且此木马的免杀做的非常好。能过很好的逃过杀软的检测,而此木马对自己进行了很好的保护,经过了三个阶段才将自己释放出来。并添加了开机自启动。

木马主要的四个阶段:
0x01:释放样本到临时文件夹,并启动

0x02:释放文件到C:\Documents and Settings\Administrator\Application Data\目录,并且生成文件,设置开机自启动,然后启动释放样本。

0x03:对进程除CSRSS.EXE以外全部注入,会挂钩很多函数,然后进行恶意行为

0x04:生成批处理文件,对临时文件中释放的文件和自身进行删除
0x01
原始文件信息
文件名:FILE.exe
文件大小:488K
编写语言:C#

此样本是初始样本,并且外壳是C#,经过反编译发现,这个外壳只是为了躲避杀毒软件。
并将资源文件解密出来放到临时文件夹,然后启动此释放文件。
这里写图片描述

0x02
临时文件夹文件信息
文件名:File.exe
文件大小:138K
编写语言:Microsoft Visual C++ 7.0
主要行为
1. 在将释放的文件启动后。将会读取自身并且采用多态变形技术释放一个文件到C:\Documents and Settings\Administrator\Application Data\nopin 下。由于样本使用了多态变形技术,所以导致每次母体和样本都不一样。这样会使传统的杀毒软件很难进

最低0.47元/天 解锁文章
左道diffway
关注
专栏目录
zBot:多合一Discord机器人
05-02
博宝 zBot是一款高度先进的多用途机器人,可用于审核,游戏,个人资料自定义等等! ...或者至少是。 在运行了整整一年的时间后,zBot由一位主要开发人员和5位其他贡献者(以及其他一些人的额外帮助)组成,将于2018年7月20日停产。 此源代码纯粹是出于存档原因。 此代码不应由任何人自行托管或运行。 我的意思是,您可以尝试,但您可能不会走得很远。 您可以找到有关zBot停产的更多信息。 感谢您使用zBot,希望您喜欢这个代码档案。 PS。 如果您认为我的代码很烂,对您有好处。 这里的一些代码并不完美,我已经准备好承认这一点。 它无意向其他人展示。 但是,由于zBot已停产,我想“为什么不呢?”。 这是我的第一个JavaScript项目,并且我从中大体上了解了JavaScript和编程,以我所取得的进步为荣,为自己的创作感到极为自豪。
制作我自己的桌面小机器人Zbot(遇到的问题总结)
weixin_45936795的博客
05-25 1338
制作自己的桌面机器人
Android 恶意样本 md5,恶意样本分析手册——常用方法篇
weixin_33187773的博客
05-28 849
一、文件识别常见的可执行程序格式有PE,ELF,MACH-O等,不同的格式有不同的标志信息(参考理论篇),知道了目标文件的格式后才能确定对应的分析方法和分析工具。可以使用16进制解析器载入可执行程序,然后查看是哪种类型的文件。图:PE文件格式图:ELF文件格式一般二进制文件的前四个字节为文件格式的magic,可以通过从网络搜索获得文件的信息,或者使用相关的工具(PEID,file)等进行自动识别。...
某远控木马样本分析-1
ZK_1874的博客
12-13 1015
某远控木马的样本分析-1
关于一款远控木马的简单分析
followingturing 追随图灵的路上...
08-24 7030
其实很多朋友都不明白木马是如何简简单单的窃取了你的帐号密码乃至你的网银帐号,趁其你使用网银U盾还没有拔下来,直接操纵你的计算机进行转账,或者更高级的在你转账之时修改网页内容,甚至在你不知不觉中开启你计算机的摄像头,对你进行一个全方位360度兼后空翻720度的监控。 下面我以一款木马作为实例为大家做一个简单的分析。 这是一款体积非常小的控制软件,并且它还具备着较强的穿透防火墙和杀毒软件的主动防御
zbot
03-12
瓦博特·阿克简单的WhatsApp机器人对于TERMUX用户> pkg update && pkg upgrade> pkg install git -y> pkg install nodejs -y> pkg install ffmpeg -y> pkg install imagemagick -y> git clone ...
CS1.6_ZBOT补丁+多功能H键菜单
01-13
cs1.6 bot 把cstrike文件夹解压到你的CS1.6所在安装目录,然后用记事本打开cstrike文件夹里的liblist.gam文件,找到gamedll,然后把它改成gamedll "dlls\mp.dll"。
经过测试的zeus/zbot代码
03-02
ZeuS和Zbot都是远程控制木马(Remote Access Trojan,RAT),主要用于非法活动,如银行账户盗窃、个人信息窃取等。 【描述】中提到的“zbot,赛门铁克评价的bot之王”,表明赛门铁克这家知名安全公司认为Zbot在恶意...
专杀工具Zbot或Zeus专杀.zip
05-28
6. **Zbot和Zeus的案例分析**: - 这些恶意软件曾参与多起重大网络犯罪,包括Pony Botnet(盗窃超过两百万个在线账户)和Gameover Zeus(一种复杂的僵尸网络,用于大规模的欺诈活动)。 - 尽管开发者已被捕,但其...
Backdoor.Zegost木马病毒分析(一)
Fly20141201. 的专栏
12-27 5213
http://blog.csdn.net/qq1084283172/article/details/50413426 一、样本信息 样本名称:rt55.exe 样本大小: 159288 字节 文件类型:EXE文件 病毒名称:Win32. Backdoor.Zegost 样本MD5:C176AF21AECB30C2DF3B8B8D8AA27510 样本SHA1:16E95
Quizbot-开源
04-26
就像IRC上的Quizbot一样的Quizbot ...他提出了一些问题,玩家可以回答! 他提供了一个阶梯:一般或根据良好答案的数量分类。 Quizbot在TMF上与ASECO2.x一起使用
木马病毒原理及特征分析
12-05
木马原理的分析,形象易懂,看过后会很有帮助
远控病毒分析
bilibili的博客
08-15 1446
1
新型远控木马tRat已在多起垃圾电子邮件活动中出现
mozhe_的博客
11-19 1167
TA505是Proofpoint网络安全公司所追踪的最多产的黑客组织之一。从2014年开始,该组织发起了数百起Dridex活动,并在2016年和2017年期间发起了大规模的Locky活动,其中许多活动都涉及到在全球范围内传播数亿条恶意信息。最近,该组织一直在分发各种远程访问木马(RAT),以及其他信息窃取、加载和侦察工具,包括一个被Proofpoint称为“tRat”的之前未被报道过的恶意软件。t...
针对VBS远控木马的技术分析
chengfangang的专栏
10-28 1838
我们团队最近捕获到一个vbs后门脚本,发现比较有意思,根据以往遇到的脚本,绝大多数都是蠕虫、下载者(从木马服务器下载一个远控)这类或者是配合木马本身做自删除中间文件,极少遇到本身就是后门或是远程控制类木马,原因是这类木马的局限性较大,一些复杂功能不能完整编写。简单分析下。 木马基本信息 MD5:0ad2a50ac1a1a98ce3db134e795e2974 大小:97,525 字节
使用Kali Linux系统生成木马病毒并实现远程控制计算机
热门推荐
guyu的博客
05-06 4万+
使用KALI生成木马病毒实现远程控制 前言    该文章内容仅用于学习使用Kali Linux系统,请不要将它用于非法的途径,如有意外概不负责。        我将会详细介绍使用Kali Linux系统生成木马并用它远程控制一台处在外网的物理计算机,使用到的工具有:    1、VMware Workstation Pro 16(虚拟机)    下载地址:https://www.vmware.com/cn/products/workstation-pro/workstation-pro-evaluation.
一次Linux服务器被入侵和删除木马程序的经历
烂笔头的博客
02-06 1万+
本文出自 “小小水滴” 博客,请务必保留此出处http://wangzan18.blog.51cto.com/8021085/1740113 一、背景     晚上看到有台服务器流量跑的很高,明显和平常不一样,流量达到了800Mbps,第一感觉应该是中木马了,被人当做肉鸡了,在大量发包。     我们的服务器为了最好性能,防火墙(iptables)什么的都没有开启,但是服务器前面
端口扫描的CS木马样本的分析
最新发布
深耕安全技术研究
05-18 1807
CS拥有多种协议主机上线方式,集成了提权,凭据导出,端口转发,服务扫描,自动化溢出,多模式端口监听,木马生成,木马捆绑,socket代理,office攻击,文件捆绑,钓鱼等多种功能。下图是本次分析样本的基本属性,这个样本的图标通过伪装成中国移动的图标,通过上文的理论基础,我们可以直接猜测出它是采用不分段的摸索,这个样本就是一个loader,它直接执行shellcode的功能。通过下图可以看出这个样了里面主要由pyc文件、pyd文件、dll文件、zip文件构成的,其中高危端口检测.pyc就是样本的主程序。
如何在VT上进行文件搜索
wangtiankuo的博客
12-26 2319
如何在VT上进行文件搜索 VirusTotal Intelligence 允许用户通过VT的数据库去搜索,以便鉴定匹配到某个规则的文件(反病毒引擎检测、元数据、提交文件名、文件格式结构属性、文件大小等)。可以说VirusTotal Intelligence是恶意软件界的“Google”。 为了方便使用,我们将搜索查询和修饰符分成了下面的类别,你可以在同一个查询中以任意数量组合他们,此外,你也可以使...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值