一、木马类型
二、木马开发者相关信息
三、网络连接特征
http://sercuredes.com/external/update
四、启动方式
五、释放文件(MD5)
%temp%\517610058299286334.bin(随机生成的一个数字)
.\agent_419826605.exe(随机生成的一个数字)
.\uninst.dll
六、注册表操作
七、基本功能描述
8ea35293cbb0712a520c7b89059d5a2a_smss.exe描述
原始木马8ea35293cbb0712a520c7b89059d5a2a_smss.exe
会查找浏览器,创建远程线程注入。具体行为如下:
1)
查找浏览器chrome,
firefox, opera, IE。
2)
创建远程线程注入代码执行。
注入后的iexplor.exe 描述
注入后的iexplor.exe会根据接收到服务器发送的不同的数据,执行不同的操作,具体行为如下:
1)
创建 .\uninst.dll,内容为空,功能为设置文件属性为不可删除。
2)
POST请求方式连接服务器http://sercuredes.com/external/update上传进程列表和用户信息。接收数据,根据接收到的数据做不同的处理。
a) : 重新连接一个服务器,接收一个PE文件,然后执行
b) : 将接收到的数据写入到%temp%\51761005829928633.bin并执行(随机生成的一个数字)
c) : 将接收到的数据写入到
.\agent_419826605.exe(随机生成的一个数字)
八、代码细节
8ea35293cbb0712a520c7b89059d5a2a_smss.exe描述
原始木马8ea35293cbb0712a520c7b89059d5a2a_smss.exe
会查找浏览器,创建远程线程注入。具体行为如下:
1)
查找浏览器chrome,
firefox, opera, IE。
2)
创建远程线程注入代码执行。
注入后的iexplor.exe
描述
注入后的iexplor.exe会根据接收到服务器发送的不同的数据,执行不同的操作,具体行为如下:
1)
创建 .\uninst.dll
2)
连接服务器上传信息:http://sercuredes.com/external/update。
3)
根据接收到的数据做不同的处理
a) :重新连接一个服务器,接收一个PE文件,然后执行
b):将接收到的数据写入到%temp%\517610058299286334.bin并执行(随机生成的一个数字)
c) : 将接收到的数据写入到
.\agent_419826605.exe(随机生成的一个数字)
若有收获,就点个赞吧
0 人点赞
