一、木马类型
二、木马开发者相关信息
三、网络连接特征
http://179.48.251.4/php/load_check.php
http://179.48.251.4/php/up.php
四、启动方式
五、释放文件(MD5)
六、注册表操作
七、基本功能描述
ca52ebe6763045be616354b0903a0ec2_WinUpdat.exe描述
原始木马ca52ebe6763045be616354b0903a0ec2_WinUpdat.exe会遍历本地计算机所有逻辑驱动器下指定后缀名文件,加密并上传到目标服务器。具体行为如下:
1)
检索计算机上所有逻辑驱动器的驱动器名称。
2)
遍历每个驱动器下指定后缀名的文件(doc、docx、ppt、pptx、pps、xls、xlsx、pdf)。
3)
将文件以字节方式读取并用AES加密算法加密文件内容,KEY为”Cobal” 。
4)
访问指定域名http://179.48.251.4/php/load_check.php测试服务器是否正常。
5)
上传经加密的本地文件到服务器http://179.48.251.4/php/up.php。
八、代码细节
ca52ebe6763045be616354b0903a0ec2_WinUpdat.exe描述
原始木马ca52ebe6763045be616354b0903a0ec2_WinUpdat.exe会遍历本地计算机所有逻辑驱动器下指定后缀名文件,加密并上传到目标服务器。具体行为如下:
1)
检索计算机上所有逻辑驱动器的驱动器名称。
2)
遍历每个驱动器下指定后缀名的文件(doc、docx、ppt、pptx、pps、xls、xlsx、pdf)。
3)
将文件以字节方式读取并用AES加密算法加密文件内容,KEY为”Cobal” 。
4)
访问指定域名http://179.48.251.4/php/load_check.php测试服务器是否正常。
5)
上传经加密的本地文件到服务器http://179.48.251.4/php/up.php。
若有收获,就点个赞吧
0 人点赞
