首页
论坛
专栏
课程

[原创]一个释放木马样本的外壳程序分析

鸡蛋面 2018-8-10 17:16 874

文件名:download.exe

查了下壳,发现加了UPX的壳:

脱壳后显示是一个c++程序:

目前已知的行为:

一、会在Windows目录下创建一个名为ouytresx.exe的文件,此文件内容内嵌在当前程序偏移地址为+0x88A61的地方。

二、会访问指定网站获取当前IP地址所对应的城市。

三、会在指定网站下载一个名为appveif.exe的程序,并存储在temp目录中。

四、会在temp目录下创建一个名为TemporaryFile的文件,对比发现此文件就是download.exe的复制。

五、Download.exe运行后会自行删除。

(较详细内容见下方代码中的注释)

主要流程:

此函数于main函数中调用

thisThread+0x50处调用下面的函数:

0x408010函数内部注册了一个类并使用它创建隐藏窗体

 

跟入4010CB:

结论:此程序实现的是一个外壳加下载器,后续具体的功能是在释放的ouytrex.exe和下载的appveif.exe中去做,另两个程序的分析下次再发。


木马样本下载链接 (安全起见请务必放在虚拟机中解压运行)

密码:9kir



[防守篇]2018看雪.TSRC CTF 挑战赛(团队赛)11月1日征题开启!

最后于 2018-8-10 17:19 被鸡蛋面编辑 ,原因:
最新回复 (0)
返回