分你所享、信息共享、轻松分享
来自民间的思想 | 送人玫瑰,手有余香。

吃鸡辅助远控木马分析

近期360安全卫士拦截到带木马的荒野求生辅助通过论坛、QQ、YY大量传播。木马运行后,黑客可以远程控制用户电脑,进行任意操作,并将中招电脑作为傀儡机,进行DDOS攻击,严重危害个人信息安全和网络秩序。

一、主要流程

带木马的荒野求生辅助以免费形式发布在布衣论坛中 吃鸡辅助远控木马分析 图1 带木马的荒野求生辅助运行后界面如下 吃鸡辅助远控木马分析 图2 该荒野求生辅助被用户下载运行后会释放运行两个木马文件:“过CRC检测.exe”和“防封插件.exe”。其中“防封插件.exe”,是一个远控木马,可以窃取用户电脑中的信息,下载执行任意文件。另外一个“过CRC检测.exe”,是一个DDOS木马,根据黑客指令进行定向攻击。 吃鸡辅助远控木马分析 图3

二、防封插件.exe

防封插件.exe是一个加密木马的载体,该文件运行时会解密出具有远控功能的dll文件,并在内存中加载执行。

1. 解密dll木马

木马作者加密木马程序后,把加密数据作为全局变量存储在防封插件.exe程序的全局数据区。 吃鸡辅助远控木马分析 图4 解密木马的功能位于防封插件.exe程序的异常处理里。由程序主动抛出整型异常,进入相应的异常处理函数,解出木马。 吃鸡辅助远控木马分析 图5 解密后的木马是一个dll文件。 吃鸡辅助远控木马分析 图6

2. 内存加载dll木马

防封插件.exe通过PELoader的方法,在内存中映射解密后的dll文件,并调用Dllmain执行。 吃鸡辅助远控木马分析 图7 然后计算导出函数ForShare82的位置,调用导出函数。至此,木马本体已经完整加载到内存并运行。 吃鸡辅助远控木马分析 图8

3. Dll木马功能

Dll木马具有远控功能,控制服务器地址:27.126.188.68,端口:522。该程序包含键盘记录、下发文件、注册表控制、服务控制等功能。 吃鸡辅助远控木马分析 图9 键盘记录功能:判断键盘输入的内容,然后格式化键盘信息,过滤特殊按键(SHITF、CTRL等),最后重组成完整的输入信息,写入文件。