文件简单介绍:
图1
由于windwos系统默认是不显示文件名后缀以及系隐藏文件的,所以一般受害只能看到途中的两个快捷键
“这是价格表”—属性 --指向该文件中的Png.bat批处理文件
图2
“这是属性表”—属性--只想配置文件
图3
简单流程分析:
图4
木马分析:
1.当用户点击“这是价格表”快捷方式时,根据快捷方式属性里面的目标参数,可以看到一个命令行参数C:\WINDOWS\system32\cmd.exe /c png.bat。其实就是运行了一个批处理文件
图5
看格式发现是FF FE(Unicode-Little Endian) 这个是批处理文件被处理过
批处理文件内容:
mkdir "%programfiles%"
rundll32.exe mearaip.dll,areaaip -fn uruhyghgj
批处理文件通过rundll32.exe作为父进程去调用mearaip.dll中的areaip到处函数
2.与前面版本相比,这个版本的使用反反调试。如果你的调试器有饭调试功能,那在这里就会被挂掉
图6
3.用Lodalibrary()和GetProcessAddress()动态获取函数地址。灵活性更强
图7
4.通过获取环境变量,然后进过字符串拼接方式获得木马释放路径。
图8
同时创建木马目录,并把木马的关键文件重命名释放到该目录下
图9
5.检查是不是在新文件夹下面,如果在新文件夹下面就开始做一些奇怪的动作了
开始访问、读取temp文件
图10
temp文件被载入内存中
图11
temp文件被解密,算法加了很多垃圾指令,其实就是一个简单的异或和加
算法:
图12
解密后的temp:
图13
解密后的temp释放出配置文件
6.有关信息
抓包
7.通过获取当前调用自身进程路径,保证父进程是runfll32.exe才正确执行
8.这个木马有很多先前版本的余留信息,有部分文件是在其他版本中用到过
9.创建配置文件,并写如配置信息
图14
配置文件内容
[Version]
Signature="$CHICAGO$"
[email protected], 2002
[DefaultInstall]
; DelReg=run_DelReg
AddReg=run_AddReg
[run_DelReg]
[run_AddReg]
hkcu,"Software\Microsoft\Windows\CurrentVersion\Run","Update",,"rundll32.exe ""C:\Users\Admin\AppData\Roaming\areaaip\Bitareaaip.dll"",areaaip"
[Strings]
10.配置完成后会访问这个网址
抓包后
