伪装qizhi software数字签名的下载者分析报告
2010-01-08 11:47
363 查看
文件名:360anqn.exe.重命名
壳信息:加了两重壳,外面一层nspack,里面一层未知加密壳
脱壳前文件大小:34.0 KB
脱壳后文件大小:124 KB
程序流程概述:
该样本运行后,把自身拷贝到$windir/system32/,设置成系统+隐藏属性,传入参数2,运行拷贝的进程,并创建cmd.Exe 传入解密后的参数:/c delete me 删除自身后退出进程.
系统目录下的进程判断传进来的参数,如果是2 则把自身注册为系统服务.
在服务派遣函数里 ,读取用户机器cpu,主板,内存等信息,判断系统版本,释放PCIDump.Sys驱动到drivers目录.恢复ssdt, 创建傀儡进程.
在傀儡进程里创建线程,监听黑客发来的指令,黑客指令分为以下几类:关机,重启,注销,下载指定文件存命名为:c:\2.Exe,并运行,访问指定网站.运行指定进程
解密后的链接地址为:http://dkdos.3322.org:7758
查询dkdos.3322.org站点的相关信息如下:
网站流量:IP ≈266,116 PV ≈1,969,255
IP地址:222.218.130.252
IP所在地:广西河池市 电信
壳信息:加了两重壳,外面一层nspack,里面一层未知加密壳
脱壳前文件大小:34.0 KB
脱壳后文件大小:124 KB
程序流程概述:
该样本运行后,把自身拷贝到$windir/system32/,设置成系统+隐藏属性,传入参数2,运行拷贝的进程,并创建cmd.Exe 传入解密后的参数:/c delete me 删除自身后退出进程.
系统目录下的进程判断传进来的参数,如果是2 则把自身注册为系统服务.
在服务派遣函数里 ,读取用户机器cpu,主板,内存等信息,判断系统版本,释放PCIDump.Sys驱动到drivers目录.恢复ssdt, 创建傀儡进程.
在傀儡进程里创建线程,监听黑客发来的指令,黑客指令分为以下几类:关机,重启,注销,下载指定文件存命名为:c:\2.Exe,并运行,访问指定网站.运行指定进程
解密后的链接地址为:http://dkdos.3322.org:7758
查询dkdos.3322.org站点的相关信息如下:
网站流量:IP ≈266,116 PV ≈1,969,255
IP地址:222.218.130.252
IP所在地:广西河池市 电信
运行于此服务器上的3个网站
1 | www.512hack.cn | 0 | 8,878,502 | 风云远程控制软件||强制视频软件||远程管理软件|出售肉鸡||DDOS攻击||攻击软 |
2 | www.txqq10000.com | 0 | 0 | 我们的.大家的.周年庆 - 腾讯十周年大型网友庆典活动 |
3 | dkdos.3322.org | 0 | 3,062 | 访问此站 |
相关文章推荐
- 2015年8月数据安全漏洞分析报告
- 分析 crash 报告的方法
- 机房收费系统 可行性分析报告
- 明天做“系统异常分析课程” 基础知识阶段学习报告
- 怎么写好一份数据分析报告?
- 如何写一份产品分析报告
- SEO诊断报告之网站关键词分析
- 【干货】产品经理如何写好一份数据分析报告
- Microsoft PetShop 3.0 设计与实现 分析报告―――数据访问层
- 测试报告:分析透彻 内容精简
- 《数据压缩》实验报告三·Huffman编解码算法实现与压缩效率分析
- GPON应用于3G基站传输的分析报告
- 【财富空间】UpHonest Capital:美国人工智能投资分析报告(精华版)
- CVE-2013-3163分析报告
- 编写优秀Bug报告的艺术及案例分析
- 赛门铁克10月份智能安全分析报告
- Snort分析报告
- PeerCast 分析报告
- 2016 中国互联网仿冒态势分析报告
- 2015年灾害脆弱性分析报告