zbot木马分析
来源:互联网 发布:软考程序员初级 希捷 编辑:程序博客网 时间:2024/05/29 19:34
木马属于zbot木马家族,并且此木马的免杀做的非常好。能过很好的逃过杀软的检测,而此木马对自己进行了很好的保护,经过了三个阶段才将自己释放出来。并添加了开机自启动。
木马主要的四个阶段:
0x01:释放样本到临时文件夹,并启动
0x02:释放文件到C:\Documents and Settings\Administrator\Application Data\目录,并且生成文件,设置开机自启动,然后启动释放样本。
0x03:对进程除CSRSS.EXE以外全部注入,会挂钩很多函数,然后进行恶意行为
0x04:生成批处理文件,对临时文件中释放的文件和自身进行删除
0x01
原始文件信息
文件名:FILE.exe
文件大小:488K
编写语言:C#
此样本是初始样本,并且外壳是C#,经过反编译发现,这个外壳只是为了躲避杀毒软件。
并将资源文件解密出来放到临时文件夹,然后启动此释放文件。
0x02
临时文件夹文件信息
文件名:File.exe
文件大小:138K
编写语言:Microsoft Visual C++ 7.0
主要行为
1. 在将释放的文件启动后。将会读取自身并且采用多态变形技术释放一个文件到C:\Documents and Settings\Administrator\Application Data\nopin 下。由于样本使用了多态变形技术,所以导致每次母体和样本都不一样。这样会使传统的杀毒软件很难进行查杀,而很多专杀工具也将失效。
2.通过注册表将木马设置为开机自启动。
0x03
自启动文件信息
文件名:igpif.exe
文件大小:138K
编写语言:Microsoft Visual C++ 7.0
由于样本使用了多态变形技术,所以导致每次母体和样本都不一样。这样会使传统的杀毒软件很难进行查杀,而很多专杀工具也将失效。
主要行为:
1. 查找进行注入,然后进行注入钩取
2.在遍历进程中,打开进程,发现没有权限时,提升权限
3这里以注入explorer来看看木马的注入,通过openprocess,获取句柄,然后通过WriteProcessMemory来想进程写入代码。
最后通过CreateRemoteThread来远程开启线程
4进入注入的远程线程函数,可以发现木马会比较指定注入的是什么程序,比较的进程有
dwm.exe
taskhost.exe
taskeng.exe
wscntfy.exe
ctfmon.exe
rdpclip.exe
5.当比较是explorer时,会检测是否有一个数据文件,如果没有,则创建一个,这个文件可能是木马的配置文件
6关闭IE的反钓鱼过滤器
7通过注册表来清空Cookies ,清空Cookies的主要目的是黑客钩取了很多网络函数,在清空以后受害者会再次输入密码账号。黑客达到盗号的目的
\Internet Explorer\Privacy\CleanCookies
8程序会通过下面的注册表减修改IE的安全设置
修改的设置 有允许 Internet Explorer Web 浏览器控件的脚本编写
允许网页为活动内容使用受限制的协议
禁止使用弹出窗口阻止程序 **
并强制设置IE和regsvr32.exe使用的浏览器版本是IE8
9程序钩取很多函数,里面包括很多网络、消息函数,用来截取信息
钩取方法。以HTTPsendrequest为例
通过获取报文
然后脱钩下面是跳转表
10网络分析,在进行网络连接的时候,由于没有禁止防火墙,会弹出提示框。
程序会循尝试连接www.dnkmktweb.net/Bz/config.bin
0x04
最后会生成一个批处理文件,对原有文件进行删除
- zbot木马分析
- 木马的分析方法
- QQ冲击波木马分析。。
- 一款木马的分析
- 一款木马的分析
- Asp木马技术分析
- 一句话木马原理分析
- 火眼病毒木马分析
- 盗号木马分析
- 分析经典的木马
- Malware Info: Troj/Zbot-BFD
- 一个驱动木马的分析
- 一个QQ木马的分析
- 一些木马源码的分析
- 11.网银大盗木马技术分析
- 一个木马的分析(一)
- jsp文件木马代码分析
- 分析一款实验室的木马
- 北京下了第一场雪
- android 使用BitmapShader实现圆形以及放大镜效果
- qt编译db2和oracle数据库驱动dll(qt5.5.0+vs2013)
- JAVA小结-五种新建对象
- 大型网站的 HTTPS 实践(二)——HTTPS 对性能的影响
- zbot木马分析
- 微信小程序 图片缩放
- mysql 索引类型 以及创建
- 栈--顺序栈
- 公式编辑器编辑物理单位的方法
- 高并发Web服务的演变——节约系统内存和CPU
- 获得页面url的某个url参数的方法
- 将EXCEL导出成ZIP压缩包
- Maven 搭建Maven环境