用户
搜索

对一款后门木马的简单分析

2019-1-14 11:55| 发布者: 桃子Tz| 查看: 67| 评论: 0|原作者: MUSYIDA


对一款后门木马的简单分析


0x00 概况


近期我发现了一款后门木马正在大肆传播,该木马功能完善,一时免杀了众多杀软,不过在发文前,virustotal上已经有57 个检测引擎检测到此文件。下面,我对这款后门木马进行深入分析。


0x01 信息




因为该木马作者对程序的编译时间做了处理,我无从得知木马的编译时间。但是,通过杀软的发现或者入库时间能有效掌握编译的时间范围。



通过360天眼的威胁研判分析系统可以得知,发现该样本的时间为东八区时间2019-01-08 16:19:01,说明样本还是较新的。



(图为VT的扫描结果)


0x02 分析


木马没有加壳,这给我分析带来了极大的便利。



首先将木马拖进OD执行,运行结果就是一个建行的窗口,虽然上面的按钮几乎都点不了。



下面这个流程图基本就是木马的运行流程了。



首先,它会写入启动项来实现自启动。

C:\users\MUSYIDA\appdata\local\temp\explorarsrv.exe

再通过cmd命令打开ie浏览器。

C:\Program Files\Internet Explorer\iexplore.exe creator:建行2mgr.exe cmdLine:"C:\Program Files\Internet Explorer\iexplore.exe"

在系统目录下创建多个文件。

C:\Users\MUSYIDA\AppData\Local\Temp

连接服务器接受命令。



通过可视化可以看出有多个服务器。











指向服务器与Ramnit蠕虫病毒有关联。





其中一个波兰的教育服务器被黑客用来当作远控服务器。



以上是威胁情报。



OEP(程序入口点)很容易就找到了。但是我暂时不使用OD分析,我把木马拖入IDA查看。



既然作者都那么直接了,我也直接一些。



看分析工具的分析结果,和我分析的差不多。



分析到这就结束了。


0x03 总结


其实,该木马在结构上并没有什么先进的技术,可能在免杀方面多用了点心吧?其实,该样本只是针对国内的杀软进行免杀的,建议大家在用杀软的时候,可以采取一中一西的方法,这样也许会更好一些。




情报来源:360天眼威胁研判分析系统、微步社区



鲜花
鲜花
握手
握手
雷人
雷人
路过
路过
鸡蛋
鸡蛋