转载请注明出处:小锋学长生活大爆炸[xfxuezhagn.cn]
如果本文帮助到了你,欢迎[点赞、收藏、关注]哦~
1、收到一封邮件,与以往钓鱼网站形式不同,这次是给了一个exe可执行文件。毫无疑问,肯定是植入木马用的。
下载后,可以发现不法分子特地用了excel的图表。别说,由于Windows默认是隐藏后缀名的(即exe),所以初看,小白真的会以为是个excel哦!
2、VMware开个虚拟机,试试看允许有什么效果。注意千万别在你的真实系统上运行这个病毒,因为根本不知道他植入了什么东西,很难排查的。
实测效果是,双击完看不到任何反应。这也是正常的,实际上他已经偷偷创建完脚本了。
3、先用扫毒工具简单扫一下。
可以发现,确实有一堆的病毒特征。
-
Win32:Agent-BCVQ:这是一个被杀毒软件检测到的恶意程序的名称,属于Win32平台下的Agent系列病毒,可能会执行恶意操作,如下载其他恶意软件、窃取信息等。
-
Win32/Farfli.CMI trojan:这是一个特洛伊木马病毒,可能通过伪装成合法程序来感染计算机,进而执行恶意活动,如窃取用户数据、远程控制受感染的计算机等。
-
Backdoor.Agent!1.9E1E (CLASSIC):这是一个后门程序,属于Agent系列,攻击者可能利用它在受感染的计算机上执行远程命令,进行数据窃取或其他恶意活动。
-
Generic.ShellCode.RDI.Marte.4.D99E8D57:这是一个通用的壳代码检测名称,可能与某些恶意软件的执行代码有关,用于执行特定的恶意操作。
-
Win32.Trojan.Agentb.bxom.(kcloud):这是一个特洛伊木马病毒,属于Agentb系列,可能会在受感染的计算机上执行恶意行为,如下载其他恶意软件、窃取用户信息等。
-
Trj/Chgt.AD:这是一个被检测到的恶意程序,可能属于木马或蠕虫类,会通过网络传播或感染其他文件,对计算机系统造成危害。
-
BDS/Zegost.klzeimd:这是一个被检测到的恶意软件,可能具有破坏系统、窃取信息等功能,对计算机的安全构成威胁。
-
Trojan-Dropper.Win32.Injector:这是一个特洛伊木马 Dropper,可能会将其他恶意软件注入到计算机中,从而执行更多的恶意活动。
4、使用云沙箱工具详细分析一下它的行为。
个人比较喜欢用这个工具,免费无广告且非常详细:https://s.threatbook.com/
可以看到这个钓鱼软件执行的一系列操作。
详细报告大家可以访问:木马病毒的分析报告
其中,比较有意思的是这两个:
- 他在C:\Users\Administrator\AppData\Local\Temp\RarSFX0目录下创建了可执行文件,通常就是用于入侵用的。
- 然后有一个IP通信,通常是向攻击者上报这台机器的信息,那么攻击者拿到信息就可以随时发起入侵了。
这个病毒的执行流程如下:
而这个IP的云商是腾讯云:
反手一个举报,不知道腾讯云管不管:
**更新:**处理结果只是警告了一下对方。。。
5、扫描一下这个IP,看看有哪些端口开了。(大家不要去攻击这个ip哦[狗头])
Penetration testing toolkit, ready to use - Pentest-Tools.com
可以推断出,他的操作系统是Windows Server,而且远程桌面3389端口是开着的。
6、反编译edu.exe看一下他做了什么。
有点长,不看了,Kimi解析后认为这段代码实现了一个简单的Windows应用程序,主要功能包括:
-
设置和清除桌面监控相关的操作(
wWinMain)。 -
设置未处理异常的过滤器(
sub_40131A)。 -
更新全局变量的值(
sub_402288等)。 -
遍历并调用函数指针数组中的函数(
sub_402371和sub_402391)。 -
控制线程的暂停时间(
sub_4027B6)。
而且有意思的是,这个edu.exe用的是酷狗的签名:
7、反编译dll看一下公开了哪些接口。
这里的SetDesktopMonitorHook应该就是监控桌面的意思。
8、反编译dll看一下他的代码。
问了一下Kimi,他说的是:
这段代码是一个dll文件的入口点函数以及相关的辅助函数实现。以下是代码的解析:
主要功能概述
**DLL入口点函数**:`dllmain_dispatch`和`dllmain_raw`是dll文件的入口点函数,用于处理dll的加载、卸载等事件。
**安全机制**:包含安全cookie的初始化和检查,用于防止缓冲区溢出等安全问题。
**异常处理**:实现了异常处理机制,包括异常过滤、安全失败报告等。
**内存管理**:通过`VirtualAlloc`函数分配内存,并将文件内容读取到分配的内存中。
**进程和线程管理**:处理进程和线程的初始化、清理以及相关的锁机制。
代码结构解析
**入口点函数**:
`dllmain_dispatch`:根据不同的事件类型调用相应的处理函数,如`dllmain_crt_process_attach`和`dllmain_crt_process_detach`。
`dllmain_raw`:处理dll的加载事件,返回1表示成功。
**安全机制**:
`___security_init_cookie`:初始化安全cookie,用于防止缓冲区溢出。
`CookieCheckFunction`:检查安全cookie是否被破坏,若被破坏则调用`___report_gsfailure`报告安全失败。
`___report_gsfailure`:处理安全失败,终止进程。
**异常处理**:
`__except_handler4`:异常处理函数,用于处理dll中的异常。
`___scrt_dllmain_exception_filter`:过滤dllmain中的异常。
**内存管理**:
`SetDesktopMonitorHook`:通过`CreateFileW`打开文件,使用`VirtualAlloc`分配内存,并将文件内容读取到分配的内存中。
`ClearDesktopMonitorHook`:清除桌面监控钩子,但目前未实现具体功能。
**进程和线程管理**:
`dllmain_crt_process_attach`:处理进程的初始化,包括初始化CRT、获取启动锁、初始化异常处理等。
`dllmain_crt_process_detach`:处理进程的清理,包括释放资源、清理异常处理等。
`___scrt_acquire_startup_lock`和`___scrt_release_startup_lock`:获取和释放启动锁,确保线程安全。
代码中的关键点
**安全机制的实现**:通过安全cookie和异常处理机制,增强了dll的安全性,防止常见的安全漏洞。
**内存分配与文件操作**:在`SetDesktopMonitorHook`中,通过文件操作和内存分配实现对桌面监控相关数据的加载。
**进程和线程的初始化与清理**:在dll的加载和卸载过程中,对进程和线程进行初始化和清理,确保资源的正确管理。
总结
这段代码实现了一个dll文件的入口点函数及相关功能,重点在于安全机制的实现、异常处理、内存管理和进程线程的管理。通过这些功能,确保dll在加载和运行过程中的安全性和稳定性。
SetDesktopMonitorHook
作用:设置桌面监控钩子,用于监控桌面相关的操作或数据。
实现功能:
打开文件 :通过
CreateFileW函数以只读方式打开名为"huc.bin"的文件。获取文件大小 :使用
GetFileSize函数获取打开文件的大小。分配内存 :调用
VirtualAlloc函数分配一块内存,大小为文件大小,分配类型为MEM_COMMIT,保护属性为PAGE_EXECUTE_READWRITE,即内存可读、可写、可执行。读取文件内容到内存 :通过
ReadFile函数将文件内容读取到分配的内存中。关闭文件句柄 :调用
CloseHandle函数关闭文件句柄。返回分配的内存地址:将分配的内存地址作为结果返回,可能用于后续的处理或操作。
他被edu.exe调用。用dll的好处是可以动态下载新的dll。
9、huc.bin是一个二进制文件,可以查看他的内容,不过不太直观。
其实用记事本也可以打开:
从内容上看,猜测它还会检测电脑上有没有安装杀毒软件。其实这个bin文件包含了蛮多代码的。
10、最后,解决方法就是删除这几个文件:
最主要还是装个杀毒软件吧,连Windows自带的杀毒软件都能拦截这个木马病毒。
