文件信息:
壳信息:无壳
编译器:vs2010
1. 文件运行后,会首先判断文件是否在C:\WINDOWS\system32目录下,如果没有则拷贝自身到这个目录下,并将自身设为服务进程,随开机启动
- 接着会启动这个服务,并在临时文件夹创建一个.bat文件并执行。这个文件主要是删除原有文件
- 服务启动后会尝试连接C&C服务器,域名一共有两个X5.XITONGAA.COM和X6.XITONGAA.COM,指向的IP都是174.139.143.226。如果连接成功后,会判断操作系统的版本,收集一些基本的信息。明文发送到服务器
4 可以看到黑客在发送数据包的时候故意在开头加了MZ,而从对于接受信息的判断的来看,黑客应该是靠这个来判断是否为通信指令的
5当网络连接不上时,程序会根据不同的情况进行处理,主要代码如下
主要是三种功能
(1) 当网络连接函数返回1时会再重新启动一个服务(00405494)
(2) 当网络连接函数返回2时,会直接退出程序
(3)当网络连接函数返回3是,程序会sleep(10000)后,重新进行连接
5 当网络连接上,会对接受到指令进行解析,并执行不同的模块
主要有以下三个模块
(1) 下载其他的模块执行,黑客通过将其他的模块下载下来并执行
(2)创建线程,循环遍历IE缓存,里面有历史记录,还有动画文件、音频文件、图片文件等,还会有一些密码缓存在IE缓存中,以及会有cookie文件等
(3)通过http服务来发送一些关键数据
并且伪造了众多的user-agent,其中还包含很多手机端的,为了躲避网络监测