伪熊猫烧香病毒来袭 电脑管家全面查杀
这个样本是远程控制木马。木马程序将试图通过层层行使和读取加密远程控制代码来避免杀死软检查和杀死,并试图留在用户电脑上进行远程控制。 一、样本概述:
这个样本是远程控制木马。木马程序将试图通过层层行使和读取加密远程控制代码来避免软检查和杀死,并试图在用户电脑上停留很长时间远程控制。
样本母体 经分析dsf.exe子体文件将被释放Irsetup.exe,子体文件Irsetup.exe再释放了BFVudateM.dll文件和狂风影音文件twunk.exe等文件;通过twunk.exe执行BFVudateM.dll,BFVudateM.dll然后读取并解密真正加密的远程控制代码文件 bfvupdate.dat,至此就可以远程控制用户电脑;最后还会搜集用户电脑相关信息,并发送至木马作者服务器。
二、样本流程图概述
三、详细分析
1、BFVUpdateM.dll剖析
1.1通过CreateFileA和ReadFile打开两个函数bfvudate.dat读取加密代码的文件
1.2通过OD动态调试分析,bfvudate.dat解密后其为PE文件是远程控制的主要代码
1.3对zwCreateProcessEx举行inlineHook,写下自己的代码
2、Dump出来的bfvudate.dat解密剖析
2.1建立一个名字fuck互斥体,防止重复运行
2.2通过修改注册表的方式,将twunk.exe设置为启动启动
2.3打开regedit.exe并举行提权
2.4通过WriteProcessMemory函数对regedit.exe举行Hook
2.5试图通过实验taskkill.exe完成金山历程
2.6然后举行一系列远程控制操作
2.7最后,通过用户计算机收集相关信息send发送出去
四、总结
这种远程控制木马和最近非常流行的白色和黑色远程控制木马有很大的区别,最近发现的白加黑远程控制最大的特点是行使系统文件rundll32.exe文件加黑色dll文件至少需要三个文件,即流传rundll32.exe、黑DLL文件、黑dat文件。然而,远程控制木马只有一个exe文件,而且行使了狂风有用数字签名的文件;其它文件都是通过释放的方式添加到用户电脑,这在流传方面要较白加黑利便许多。
现在管家乐成发现了病毒,让你的电脑处于健康状态。
关于Haiheiwang详细分析木马
一元木马骗消费者 腾讯电脑管家及时