檔案資訊:
殼資訊:無殼
編譯器:vs2010
1. 檔案執行後,會首先判斷檔案是否在c:\windows\system32目錄下,如果沒有則拷貝自身到這個目錄下,並將自身設為服務程序,隨開機啟動
接著會啟動這個服務,並在臨時資料夾建立乙個.bat檔案並執行。這個檔案主要是刪除原有檔案
服務啟動後會嘗試連線c&c伺服器,網域名稱一共有兩個x5.xitongaa.com和x6.xitongaa.com,指向的ip都是174.139.143.226。如果連線成功後,會判斷作業系統的版本,收集一些基本的資訊。明文傳送到伺服器
4 可以看到黑客在傳送資料報的時候故意在開頭加了mz,而從對於接受資訊的判斷的來看,黑客應該是靠這個來判斷是否為通訊指令的
5當網路連線不上時,程式會根據不同的情況進行處理,主要**如下
主要是三種功能
(1) 當網路連線函式返回1時會再重新啟動乙個服務(00405494)
(2) 當網路連線函式返回2時,會直接退出程式
(3)當網路連線函式返回3是,程式會sleep(10000)後,重新進行連線
5 當網路連線上,會對接受到指令進行解析,並執行不同的模組
主要有以下三個模組
(2)建立執行緒,迴圈遍歷ie快取,裡面有歷史記錄,還有動畫檔案、音訊檔案、檔案等,還會有一些密碼快取在ie快取中,以及會有cookie檔案等
(3)通過http服務來傳送一些關鍵資料
並且偽造了眾多的user-agent,其中還包含很多手機端的,為了躲避網路監測
乙個簡單的CMDSHELL後門
程式很簡單,執行後預設開啟1983埠,也可以自己設定埠,等待客戶端來連線。連線可以使用nc。本來還想設計成服務讓其開機後自動執行,由於時間問題等以後完善了。用法 smallhorse p port p引數用於設定自己的埠 下面是源程式,貼出來和大家共同學習進步,同時希望高手不吝指教,小馬在此謝了先。...
phpstudy後門簡單分析
感謝pcat師傅的文章 20號得知phphstudy有後門,不知道官網的是不是也被入侵了,當時沒有進行檢視,由於當時正在秋招面試比較忙,鴿了幾天有了下文 被中馬的為php xmlrpc.dll這個dll檔案,這個可以通過查詢洩露字串很容易通過指令碼實現,就不貼了,可以以eval為關鍵字來進行搜尋 p...
利用cpl檔案在xp中留乙個後門
先請看圖 這是我用restorator 開啟nusrmgr.cpl時的情形。你看到了什麼?是不是很吃驚,原來xp中控制面板中的 使用者帳戶 選項竟然是html做的。其實不然,微軟的好多元件的面板都是html做的。這也是微軟為什麼一直無法清掉ie的原因,它牽涉太多了,就算是反壟斷法也不可能讓微軟刪掉i...