首页
论坛
专栏
课程

[调试逆向] [病毒木马] [原创]捕获的木马样本,目前正在撒网抓鸡

2019-5-14 16:53 1979

[调试逆向] [病毒木马] [原创]捕获的木马样本,目前正在撒网抓鸡

2019-5-14 16:53
1979

双击后自动消失并且隐藏自身。


释放在C:WINDOWS\SYSTEM32\RQVRME.EXE         C2出现了,还是打码,万一我被盯上就麻烦了。。。。


进行静态分析


获取到它的C2域名




获取执行的时间



获取本机的IP地址





这里不太懂,解出来的ip不是C2的,是不是想混淆IP,有大佬告诉我吗???



获取WIN的版本




这里有可能是反OD调试,进入一个CALL的时候死循环了,以前见过这种。od的异常处理有一个bug,就是他会自动的将异常关闭。但是这个bug就被一些人利用来反od了。





不断向C2报告当前的信息




应该是urlmon.dll,也就是微软那个浏览器internet explorer,应该是通过这个下载样本



这里不知道是不是想混蒙过去,不过大概猜得出是什么。

Current    control     services



修改注册列表,形成自启动,复制的文件跟上面分析的一样



C2与样本进行通信



删除自身


目前C2还是活的,估计已经控制了不少肉鸡。样本是Nitol家族的,如果有什么错误请各位大佬纠正一下。欢迎交流!





[公告]安全服务和外包项目请将项目需求发到看雪企服平台:https://qifu.kanxue.com

最新回复 (8)
petersonhz 2019-5-14 21:30
2
0
od的异常处理有一个bug,就是他会自动的将异常关闭。但是这个bug就被一些人利用来反od了,这个bug还没改回来么?
petersonhz 2019-5-14 21:36
3
0
楼主怎么抓到这个病毒的?
rongge 2019-5-15 07:11
4
0
可以详细说说这个bug吗?
bjdxwgb 2019-5-15 07:54
5
0
样本在哪.
nullily 2019-5-15 09:10
6
0
分析木马只用一个ida吗  。。。
wx_咸鱼_785523 2019-5-15 09:45
7
0
样本是它挂在网站上,被同事发现。样本MD5 :95625e5c76e4e7999b08de5fa25792d4
kxzpy 2019-5-15 12:10
8
0
wx_咸鱼_785523 样本是它挂在网站上,被同事发现。样本MD5 :95625e5c76e4e7999b08de5fa25792d4
解出来的ip不是C2的,是不是想混淆IP,有大佬告诉我吗
这些 c语言代码是根据汇编逆向出来的吗?
wx_咸鱼_785523 2019-5-15 12:12
9
0
对的,IDA那个
游客
登录 | 注册 方可回帖
返回