用户
搜索

该用户从未签到

i春秋-呆萌菜鸟

0xSp

Rank: 1

1

主题

8

帖子

32

魔法币
收听
0
粉丝
0
注册时间
2020-7-30
发表于 2020-11-1 21:24:28 23755
0x01
        昨天看到M0x1n版主分析的一个远程控制木马,觉得十分有兴趣,就用着沙箱跟着一步步的分析,发现了一些小结果。
0x02
1. 可能是版主比较忙的原因,并没有详细的说明是如何跟出IP地址的。
a) 软件从运行之后,在C:\Program Files\Google\创建了Yarst.exe并且设置为隐藏文件(SetFileAttributesW)
b) 软件运行后,有delay一定的时长后下载http://14.29.48.84:8080/wingua.exe且命名为C:\Program Files\ChsIME.exe后执行。
c) 读取了hosts文件:C:\Windows\System32\drivers\etc\hosts
d) 拷贝自身到C:\tmpiul7fj\87249e4d99e55f339190d2692709468b7965a0031fe422b05ae90964276b45bd.exe
e) 执行cmd C:\Windows\system32\cmd.exe" /c del C:\TMPIUL~1\87249E~1.EXE > nul
0x03
2. 处置建议
a) 删除C:\Program Files\Google\Yarst.exe
b) 删除C:\tmpiul7fj\目录下文件
c) 第一时间断网防止黑客进行下一步操作
d) 检查后台进程
e) 防止链接远程控制地址
f) 删除启动服务Qrijkc Efvwx

发表于 2020-11-3 15:07:56
加油
让我们一起干大事!
有兴趣的表哥加村长QQ:780876774!
使用道具 举报 回复
发表于 2020-11-4 22:59:13
非常感谢您的补充,谢谢您对文章的品析。
末心网络安全团队 | Q群374327762 | QQ1044631097
使用道具 举报 回复
发新帖
您需要登录后才可以回帖 登录 | 立即注册