马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有帐号?
x
本帖最后由 snowlee 于 2012-6-5 14:28 编辑
1. 简要描述 该文件为被捆绑后的电驴安装软件,安装后会释放一个gh0st的远控木马
2. 简要流程 a. 该文件运行后,会释放两个文件。Updata.exe和Setup.exe. b. Updata为捆绑的病毒文件。Updata会释放一个名为VPTray.exe的文件 c. VPTray.exe内部释放一个名为up.bak的链接库文件 d. Up.bak从本身资源中读取xxzone.dll文件. 并且执行其远控木马功能
3. Setup.exe行为分析 a. 捆绑病毒的安装包Setup.exe运行后,会释放一个正常easyMule—Setup.exe和一个updata.exe. 病毒创建进程。启动这两个文件。
b. Updata.exe运行后, 会释放一个w7eXX.tmp的临时文件并启动该文件。
c. w7eXX.tmp运行后, 会首先判断当前该进程的文件名是否为VPTRay.exe。如果不是, 则将该文件复制到临时目录,并且重命名为 VPTRay.exe。
d. 将VPTray.exe设置为开机启动项。
e. 启动VPTray.exe进程。并且删除update.exe
4. VPTray.exe行为分析 a. VPTray.exe运行后, 会从资源中读取数据, 生成释放一个名为up.bak的动态链接库。 并且加载该库到内存。
b. Up.bak中有两个导出函数。Loop. 和 Mydoor
c. 在Mydoor函数中, 程序会再次从资源中读取数据,该数据为一个动态链接库。并且申请内存。将资源中的数据,模拟PE加载到申请的内存空间中。 此过程中不会生成文件。而是直接从资源中读取,并模拟LoadLibrary加载到内存。调用其导出函数。
d. 该文件有两个导出函数。Delloader和door。 delloader用于加载所有需要的API函数。Door函数开启木马远控后门。
e. 此文件实为一个gh0st远控木马程序。病毒远控链接地址为apples.suroot.com。下图为该程序发送远控命令的网络数据包。 gh0st远控为一个开源的木马远控程序。在网上可以方便下载到相关c++源代码。 该远控程序基本包含了所有远程控制功能。当用户中此木马后, 黑客则可以在用户的电脑上“为所欲为”。
f. 该木马后门针对多款 杀毒软件进行了处理。其中包括:
5. 拦截情况: 目前毒霸可以完全防御和查杀,毒霸用户无须担心。
| 
置顶卡
果然够神速啊
{yct08}
没中——支持一下!
