鸿 网 互 联 www.68idc.cn

当前位置 : 服务器租用 > 网站安全 > 加密解密 > >

大半夜没空分析一个远控马子(纯属无聊)

来源:互联网 作者:佚名 时间:2015-04-12 10:25
闲来没事,大半夜的,没事跟小新聊会天,然后扯淡了一会,他说他曾经被抓鸡了,我勒个日,而且木马传过来了,但是运行被金山拦截了,这货居然把那个远控马保存下了了。 我就郁闷了。 好了,,收到样本,简单的看下。 一个VC++ 6.0的, /p 这才是重点,10KB,
闲来没事,大半夜的,没事跟小新聊会天,然后扯淡了一会,他说他曾经被抓鸡了,我勒个日,而且木马传过来了,但是运行被金山拦截了,这货居然把那个远控马保存下了了。

\

我就郁闷了。

\

好了,,收到样本,简单的看下。

\

一个VC++ 6.0的,

\/p>

这才是重点,10KB,没加壳,直接用Ollydbg简单的看下,估计这东西只有个下载功能,用来养鸡,更新下载者什么的。

00401A9F BE BC314000   mov esi,Kola.004031BC  ;  222.eg129.com:10001//反弹域名

在这里看到了反弹的域名为:222.eg129.com  端口为10001



 

00401E4B|.68 F8344000 |push Kola.004034F8;Software\Microsoft\Windows\CurrentVersion\Run

这里写注册表,写入系统开机启动项。



 

00401EA1  |.  68 64344000   |push Kola.00403464 ; C:\Documents and Settings\All Users\「开始」菜单\程序\启动\expor.exe

写入的文件为expor.exe

这货这个马没加壳才10KB ,真牛逼~~~

于是看了下他的whois~~

\

 

竟然是在新网买的~~ 这货。。 一开始,小新还以为是外国的黑阔,因为查IP是德国的。

\

注册人:何书生 (真他吗是个书生)

地址:达川区 中街 (  拼音 我只是猜测)

ShiShaShi 是啥东西就不知道了

这是邮箱:\

 

拼音你们慢慢去猜。

然后我看了下是否备【本文来自鸿网互联 (http://www.68idc.cn)】案……

这货居然备案了~~~  奶奶的

于是就这样结束了~~~

网友评论
<