Trojan.Backdoor分析
总结:这是一个HTTP的后门,以安装(-in)||移除(-re)||配置(-c)为目的运行此程序时, 必须指定abcd为最后一个参数. 安装时他会把自身拷贝到%SYSTEMROOT%\WINDOWS\system32目录下,并创建一个自启动服务来保证其可持续性. 安装之后, 该后门会从注册表中得到服务配置信息, 并向远程服务器发送HTTP/1.0 GET请求,根据请求的返回值,解析成参数,指导恶意软件的行为--共有五种:SLEEP UPLOAD DOWNLOAD CMD NOTHING.
此五种分别对应的行为是:睡眠指定时间, 连接远程服务器得到内容并保存到本地, 从本地文件读取内容发送到远程服务器, 在本机上执行CMD命令并将结果发送到远程主机, 什么都不做
使用peid查看:
用IDA分析:
下面开始标志位检测, 使用了fs:[0x30]得到了PEB地址,
之后判断processheap中的某个标志:
再之后找到NtGlobalFlag,必须不为0x70:
接下来判断参数个数,根据参数个数不同进行不同操作:
如果参数是一个,那么走左边,否则右边.
左边:调用sub_401100:
在sub_401100中,再次执行了上述的三个判断,过了之后,打开注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \XPS: 注意Microsoft后有空格
调用成功之后访问名为"Configuration"的项的值
此API成功后返回ERROR_SUCCESS(0)
所以成功后sub_401100返回1,否则返回0
继续:
loc_4035cb调用了:
进入sub_402c40中后:
再次重复了那三个标志位检测,之后:
此循环就是左边支路的最后一个循环,如果这里退出了,那么此次程序执行结束.
可以知道sub_4014B0和sub_402880必须返回0,那么这个循环才能继续下去
进入sub_4014b0:
同样地进行了三个标志位的检测:之后打开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \XPS
访问configuration的值, 值存储在局部数组中,之后把这个值分部分拷贝到a1,a3,a5,a7处,猜想这个值之间有3个空格,那么分成四段,就刚好解析:
设4段值为XX YY ZZ KK
那么接下来的调用就是:
说明kk应该是秒数的字符串,用于指定线程睡眠时间
进入sub_402880后再次进行了标志位检测,之后:
在sub_402650中,v14得到了一个字符串,这字符串用于后边的比较,
可以看出这字符串是个命令,用于选择执行恶意代码:
命令有:SLEEP,UPLOAD,DOWNLOAD,CMD,NOTHING
v14使用了strtok来分割字符串,例如sleep时字符串应该是
"SLEEP 10"
这样v2就是10,atoi将v2转换成整数传入sleep实现了睡眠,同理
UPLOAD命令的格式应该是:UPLOAD port filename
DOWNLOAD命令的格式应该是:DOWNLOAD port filename
CMD命令的格式应该是: CMD port command
上述分隔符asc_40c0d8是一个unicode的空格, asc_40c0bc是一个unicode的"`"符号
接下来走右边
v10是传入的最后一个参数,sub_402d70必须返回非零
进入sub_402d70:
可以知道最后一个参数长度为4,第一个字节的值为97(a),第二个字节的值为98,第三个字节的值为99,第四个字节的值为100, 转换成字符就是abcd,所以最后一个参数必须是abcd
接下来相当于参数1的switch:
如果字符串相等那么_mbscmp返回0,依据这逻辑,最内层括号内应该是argv[1]为"-cc"的情况:
此时参数个数必须为3.
之后调用sub_4014b0从注册表中获取配置字符串并解析
:之后调用sub_403939按格式
aKSHSPSPerS text "UTF-8", 'k:%s h:%s p:%s per:%s',0Ah输出到控制台
如果argv[1]是"-c",那么参数必须有7个
进入sub_4011D0:
这段代码将argv[2]~arg[5]拼成一个字符串并将注册表中的
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \XPS中Configuration的值设置为拼好的数据.
也就是说-c命令是设置配置的.
如果argv[1]是-re,那么
当参数是3个的时候,此时argv[0]是EXE名,argv[1]是-re,argv[2]是abcd
之后进入sub_402e70:
获取了当前模块完整路径文件名,并将文件名分离出来放入a1中,也就是v8
之后进入sub_4032c0, 这个模块主要就是删除指定服务,删除文件,将其完全移除.
如果参数是4个,那么argv[2]是要移除的服务名
如果argv[1]是-in,那么
当参数是3个,也就是没有指定服务名时,获取模块文件名作为服务名;否则使用指定的服务名来创建服务. 服务名后连接上' Manager Service'
于sub_402f40中, 并将自身拷贝到system32目录下, 初始化configuration的值...
所以-in是安装此恶意程序.
Trojan.Backdoor分析的更多相关文章
- Linux SSH Backdoor分析排查
1.SSH后门分类 SSH后门方式有以下几种 软链接 SSH Server wrapper SSH Keylogger 2.软链接 利用方法 [root@helen]# ln -sf /usr/sbi ...
- NMAP - A Stealth Port Scanner--reference
http://nmap.org/bennieston-tutorial/ 实例:nmap -sP 192.168.21.* Contents 1 Introduction Nmap is a fre ...
- 基于Bert的恶意软件多分类
基于Bert从Windows API序列做恶意软件的多分类 目录 基于Bert从Windows API序列做恶意软件的多分类 0x00 数据集 0x01 BERT BERT的模型加载 从文本到ids ...
- [FreeBuff]Trojan.Miner.gbq挖矿病毒分析报告
Trojan.Miner.gbq挖矿病毒分析报告 https://www.freebuf.com/articles/network/196594.html 竟然还有端口转发... 这哥们.. 江民安全 ...
- Backdoor.Zegost木马病毒分析(一)
http://blog.csdn.net/qq1084283172/article/details/50413426 一.样本信息 样本名称:rt55.exe 样本大小: 159288 字节 文件类型 ...
- 一个PHP混淆后门的分析
洒家的朋友的公司的某个站发现最近被上传了一个后门程序.为了取证我们抓取了HTTP请求流量,看到了一堆莫名其妙看似经过混淆的请求,响应也是看似base64的乱码.洒家用了2个小时静态分析了一遍,并写了利 ...
- Exp4 恶意代码分析
一.原理与实践说明 1. 实践目标 1.1 监控你自己系统的运行状态,看有没有可疑的程序在运行. 1.2 分析一个恶意软件,就分析Exp2或Exp3中生成后门软件:分析工具尽量使用原生指令或sysin ...
- 20155219付颖卓《网络攻防》Exp4 恶意代码分析
一.基础问题回答 如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么.请设计下你想监控的操作有哪些,用什么方法来监控. 可以用window7自带的schtasks ...
- 2018-2019-2 20165315 《网络对抗技术》Exp4 恶意代码分析
2018-2019-2 20165315 <网络对抗技术>Exp4 恶意代码分析 一.实验要求 1.系统运行监控 使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是 ...
随机推荐
- newJob_newFell
雄关漫道真如铁,而今迈步从头越. 不求闻达于诸侯,但求无愧于初心.
- js 实现json数组集合去重,差集,并集,交集。
let list = [ { id: "1", content: "A" }, { id: "2", content: "B&qu ...
- k8s构建镜像-基于centos的python环境+pip
FROM centos:7.4.1708 #维护者信息MAINTAINER by icdss # 标签LABEL version="1.0" # 安装依赖RUN yum -y up ...
- Html5 Page Creator,简易h5页面场景制作
- 物理层PHY 和 网络层MAC
PHY模块简介 物理层位于OSI最底层,物理层协议定义电气信号.线的状态.时钟要求.数据编码和数据传输用的连接器. 物理层的器件称为PHY. 上图里的灰色方框图里的就是PHY芯片内部模块图. MAC器 ...
- Python day 04
Day 04 今日内容 补充 1.解释器/编译器 补充:编译型语言和解释型语言? # 编译型:代码写完后,编译器将其变成成另外一个文件,然后交给计算机执行. # 解释型:写完代码交给解释器,解释器会从 ...
- orm 扩展
"""ORM小练习 如何在一个Python脚本或文件中 加载Django项目的配置和变量信息""" import os if __name_ ...
- Privoxy教程
简介 Privoxy 是一个 代理软件 简单说,就是进出你电脑的流量守门人.借由 Privoxy,我们可以控制出去的请求,还可以改写返回的响应.不必要的请求 – 比如视频广告的地址.图片广告的地址,我 ...
- 利用 Charles Proxy 下载旧版本 iOS App
一.软件准备 1.旧版本 iTunes1.IPSW Downloads:https://ipsw.me/2.百度网盘链接: https://pan.baidu.com/s/1PO9Z12o-rqZ_J ...
- 《 动态规划_ 入门_最大连续子序列_HDU_1003 》
题目描述: Max Sum Time Limit: 2000/1000 MS (Java/Others) Memory Limit: 65536/32768 K (Java/Others)Tot ...