Trojan.Backdoor分析

最新推荐文章于 2021-02-20 18:42:21 发布
最新推荐文章于 2021-02-20 18:42:21 发布
阅读量365 收藏
点赞数
文章标签: 操作系统
原文链接:http://www.cnblogs.com/cqubsj/p/6617779.html
版权

总结:这是一个HTTP的后门,以安装(-in)||移除(-re)||配置(-c)为目的运行此程序时, 必须指定abcd为最后一个参数. 安装时他会把自身拷贝到%SYSTEMROOT%\WINDOWS\system32目录下,并创建一个自启动服务来保证其可持续性. 安装之后, 该后门会从注册表中得到服务配置信息, 并向远程服务器发送HTTP/1.0 GET请求,根据请求的返回值,解析成参数,指导恶意软件的行为--共有五种:SLEEP UPLOAD DOWNLOAD CMD NOTHING.

此五种分别对应的行为是:睡眠指定时间, 连接远程服务器得到内容并保存到本地, 从本地文件读取内容发送到远程服务器, 在本机上执行CMD命令并将结果发送到远程主机, 什么都不做

使用peid查看:

用IDA分析:

下面开始标志位检测, 使用了fs:[0x30]得到了PEB地址,

之后判断processheap中的某个标志:

再之后找到NtGlobalFlag,必须不为0x70:

接下来判断参数个数,根据参数个数不同进行不同操作:

如果参数是一个,那么走左边,否则右边.

左边:调用sub_401100:

在sub_401100中,再次执行了上述的三个判断,过了之后,打开注册表项

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \XPS: 注意Microsoft后有空格

调用成功之后访问名为"Configuration"的项的值

此API成功后返回ERROR_SUCCESS(0)

所以成功后sub_401100返回1,否则返回0

继续:

loc_4035cb调用了:

进入sub_402c40中后:

再次重复了那三个标志位检测,之后:

此循环就是左边支路的最后一个循环,如果这里退出了,那么此次程序执行结束.

可以知道sub_4014B0和sub_402880必须返回0,那么这个循环才能继续下去

 

进入sub_4014b0:

同样地进行了三个标志位的检测:之后打开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \XPS

访问configuration的值, 值存储在局部数组中,之后把这个值分部分拷贝到a1,a3,a5,a7处,猜想这个值之间有3个空格,那么分成四段,就刚好解析:

设4段值为XX YY ZZ KK

那么接下来的调用就是:

说明kk应该是秒数的字符串,用于指定线程睡眠时间

进入sub_402880后再次进行了标志位检测,之后:

在sub_402650中,v14得到了一个字符串,这字符串用于后边的比较,

可以看出这字符串是个命令,用于选择执行恶意代码:

命令有:SLEEP,UPLOAD,DOWNLOAD,CMD,NOTHING

v14使用了strtok来分割字符串,例如sleep时字符串应该是

"SLEEP 10"

这样v2就是10,atoi将v2转换成整数传入sleep实现了睡眠,同理

UPLOAD命令的格式应该是:UPLOAD port filename

DOWNLOAD命令的格式应该是:DOWNLOAD port filename

CMD命令的格式应该是: CMD port command

上述分隔符asc_40c0d8是一个unicode的空格, asc_40c0bc是一个unicode的"`"符号

 

接下来走右边

v10是传入的最后一个参数,sub_402d70必须返回非零

进入sub_402d70:

可以知道最后一个参数长度为4,第一个字节的值为97(a),第二个字节的值为98,第三个字节的值为99,第四个字节的值为100, 转换成字符就是abcd,所以最后一个参数必须是abcd

接下来相当于参数1的switch:

如果字符串相等那么_mbscmp返回0,依据这逻辑,最内层括号内应该是argv[1]为"-cc"的情况:

此时参数个数必须为3.

之后调用sub_4014b0从注册表中获取配置字符串并解析

:之后调用sub_403939按格式

aKSHSPSPerS     text "UTF-8", 'k:%s h:%s p:%s per:%s',0Ah输出到控制台

 

如果argv[1]是"-c",那么参数必须有7个

进入sub_4011D0:

这段代码将argv[2]~arg[5]拼成一个字符串并将注册表中的

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \XPS中Configuration的值设置为拼好的数据.

也就是说-c命令是设置配置的.

如果argv[1]是-re,那么

当参数是3个的时候,此时argv[0]是EXE名,argv[1]是-re,argv[2]是abcd

之后进入sub_402e70:

获取了当前模块完整路径文件名,并将文件名分离出来放入a1中,也就是v8

之后进入sub_4032c0, 这个模块主要就是删除指定服务,删除文件,将其完全移除.

如果参数是4个,那么argv[2]是要移除的服务名

 

如果argv[1]是-in,那么

当参数是3个,也就是没有指定服务名时,获取模块文件名作为服务名;否则使用指定的服务名来创建服务. 服务名后连接上' Manager Service'

于sub_402f40中, 并将自身拷贝到system32目录下, 初始化configuration的值...

所以-in是安装此恶意程序.

 

转载于:https://www.cnblogs.com/cqubsj/p/6617779.html

weixin_30561177
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
2018年金融业ctf竞赛 backdoor 流量数据分析writeup
qq_42773814的博客
08-08 3320
Backdoor   flag:flag{b3c4r3fortheChinaChopperFHGJKUI^U%}   解题过程: 利用wireshark打开文件,过滤http报文,任意选择一个报文右键选择追踪流->http流 追踪流里面包含大量16进制代码,观察前几位发现它是zip压缩文件的文件头 将z1后面的参数复制下来 以16进制形式粘贴到C32asm工具里 ...
Backdoor.Trojan专杀工具
larry的专栏
07-25 2万+
1.泄露机密数据:用户的击键会被记录下来发送给黑客;          2.危及电脑安全:允许未授权用户访问存在后门的电脑。          技术特征:          这是一个典型的后门程序,能让远程黑客畅通无阻的任意访问受害用户的电脑。          运行后,它会:          1.将自身拷贝至%Windows%文件夹下,文件名因不同版本而不同,黑客可选择任意文件名来创建该后门木
木马 --- 基本概念和分类
热门推荐
daibaohui的博客
02-20 3万+
木马全称为特洛伊木马,来源于古希腊神话。木马是通过欺骗或诱骗的方式安装,并在用户的计算机中隐藏以实现控制用户计算机的目的。 具有远程控制、信息窃取、破坏等功能的恶意代码 木马具有如下特点: 欺骗性 木马都有很强的欺骗性,执行通常都由被攻击者自己执行起来的 隐藏性 非授权性 执行恶意操作是没有经过用户授权的 交互性 主机之外的攻击者可以通过某种方式对主机进行交互 接着分享木马的分类,不同视角有不同的分类。 1.行为视角 粒度细,如卡巴斯基SafeS.
WebShells:Webshel​​l漏洞注入列表
05-12
#History这是PHP脚本后门的列表,允许攻击者破坏网站并获得对数据库和敏感目录的完整访问权,基本上是PHP Backdoor Web应用程序Trojan,它可以完全入侵任何网站并获得完整的数据库。 #仅用于教育目的。
AnalysisScript:用于恶意软件分析的脚本列表
05-16
Gen4字符串解密器Backdoor.Miniduke!gen4 Trojan.Netweird记录的密钥解密器 分析感染Trojan.Ransomlock.AP(Trojan.Ransomlk.AP!inf)的Advapi32.dll系统DLL Trojan.Swifi Shellcode解密器 Trojan.Netduke-...
如何根据名称识别计算机病毒.doc
05-11
很多时候大家已经用杀毒软件查出了自己的机子中了例如Backdoor.RmtBomb.12 、Trojan.Win32.SendIP.15 等等这些一串英文还带数字的病毒名,这时有些人就懵了,那么长一串的名字,我怎么知道是什么病毒啊?  其实...
PyIris-backdoor:PyIris-backdoor是一个完全用python编写的模块化,隐秘且灵活的远程访问工具包,用于命令和控制其他系统。 现在,它可能一直处于测试阶段。 框架中仍然存在错误,可以随时为这个项目做出贡献或帮助我,该项目仍在积极开发中> _>
05-04
PyIris项目(现已在PERPETUAL BETA中移植到python 3) PyIris项目是完全用python编写的模块化,隐秘且灵活的远程访问工具包。 它允许用户动态构建,生成和编码/加密远程访问特洛伊木马负载,以远程控制其他受感染的...
rkhunter-1.4.2.tar.gz
06-03
Checking for backdoor ports [ None found ] Performing checks on the network interfaces Checking for promiscuous interfaces [ None found ] Checking the local host... Performing system boot checks ...
php下批量挂马和批量清马代码
10-28
批量挂马和批量清马程序PHP版,所以黑客工具的对立性,在黑客手里是破坏工具,在维护的站长来说是修正工具。
彩虹桥木马程序backdoor.win32.bifrose.gel查杀
weixin_30646505的博客
01-01 743
彩虹桥木马摘要 彩虹桥木马是使用vb编写的后门程序,由微点主动防御软件自动捕获,未加壳,样本长度为“421,376 字节”,图标为“”,使用“exe”扩展名,通过“诱骗用户点击”、“文件捆绑”等途径植入用户计算机 彩虹桥木马主要功能可盗取文件,窃取密码、记录键盘、摄像头录像,使用户隐私完全暴露于病毒种植者,沦陷为傀儡主机 彩虹桥木马分析 该样本被执行后, 将修改注册表,映像劫...
Backdoor.Zegost木马病毒分析(一)
Fly20141201. 的专栏
12-27 5094
http://blog.csdn.net/qq1084283172/article/details/50413426 一、样本信息 样本名称:rt55.exe 样本大小: 159288 字节 文件类型:EXE文件 病毒名称:Win32. Backdoor.Zegost 样本MD5:C176AF21AECB30C2DF3B8B8D8AA27510 样本SHA1:16E95
Trojan.MSWord.Agent.bi
最新发布
07-14
Trojan.MSWord.Agent.bi 是一种恶意软件(恶意代码),它被归类为针对Microsoft Word文档的特洛伊木马。它通常以 .doc 或 .docx 文件的形式传播,并利用Microsoft Word的漏洞或弱点进行攻击。 一旦被感染,Trojan.MSWord.Agent.bi 可能会执行各种恶意活动,例如: 1. 数据窃取:该木马可以窃取用户的敏感信息,如登录凭据、银行账号、个人信息等。 2. 后门功能:它可以创建后门,使攻击者能够远程访问受感染系统,并执行恶意操作。 3. 恶意传播:该木马可以尝试通过感染其他Word文档、通过电子邮件或网络传播自身。 为了防止感染 Trojan.MSWord.Agent.bi 或其他恶意软件,以下是一些建议的安全措施: 1. 更新软件:及时更新您的操作系统、应用程序和安全软件,以修补已知漏洞并获得最新的安全性保护。 2. 警惕附件和链接:不要打开来自未知或不可信来源的附件,避免点击可疑或垃圾邮件中的链接。 3. 使用安全软件:安装和定期更新可靠的安全软件,如杀毒软件、防火墙和恶意软件扫描工具。 4. 持续教育和培训:提高个人和团队对网络安全的意识,学习如何识别和应对恶意软件攻击。 如果您怀疑自己的系统已经感染了 Trojan.MSWord.Agent.bi 或其他恶意软件,请立即与网络安全专家或技术支持团队联系,以获取进一步的帮助和处理建议。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值