::黑客领域>>文章中心>>跟踪"魔兽游戏"木马的密码发送方式--::


\|域名主机 \|软件吧\| 文章中心下载中心娱乐推荐本站论坛博客

广告载中...

您现在的位置：首页>>文章中心>>黑客教程>>正文

跟踪"魔兽游戏"木马的密码发送方式

日期：2007-2-3 19:17:49 来源: 编辑：浏览：

测试对象: 大陆魔兽木马生成器
测试目的: 跟踪分析所生成的木马的感染系统过程及密码发送方式
测试说明: 我是以测试为目的利用"木马生成器" 生成一个木马程序,共邮箱及密码是虚拟的!目的只在于如此跟踪出木马内部中的有效信息!

病毒激活后,生成svchsot.exe 和 locarxjh.sls ; 注意,前者与正常程序svchost.exe的区别,后者则是 DLL文件! 前者采用加壳,用PEID侦察会

导致PEID的内存访问异常错误而无法探测! 可采用OD进行手工脱壳,脱壳过程较简单,我们先来看看病毒感激活时会有那些动作...

"load"="D:\\WINDOWS\\System32\\svchsot.exe"

病毒首先将自己复制拷贝到%systemRoot%\system32目录下并命名为:svchsot.exe
并多次写入注册表项以实现其启动自动加载的目的,如:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\S-1-5-21-515967899-162531612-725345543-1003\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load

10001FEA 56 push esi
10001FEB 68 04010000 push 104
10001FF0 50 push eax
10001FF1 FF15 2CA00010 call dword ptr ds:[<&KERNEL32.GetSystemDirectoryA>]
; kernel32.GetSystemDirectoryA
10001FF7 8D4C24 08 lea ecx,dword ptr ss:[esp+8]
10001FFB 68 CCC10010 push locarxjh.1000C1CC
; ASCII "\svchsot.exe"
10002000 51 push ecx
10002001 FF15 18A00010 call dword ptr ds:[<&KERNEL32.lstrcatA>]
; kernel32.lstrcatA
10002007 8D5424 04 lea edx,dword ptr ss:[esp+4]
1000200B 8BF0 mov esi,eax
1000200D 52 push edx
1000200E 68 06000200 push 20006
10002013 6A 00 push 0
10002015 68 9CC10010 push locarxjh.1000C19C
; ASCII "Software\Microsoft\Windows\CurrentVersion\Run"
1000201A 68 02000080 push 80000002
1000201F FF15 08A00010 call dword ptr ds:[<&ADVAPI32.RegOpenKeyExA>]
; ADVAPI32.RegOpenKeyExA
10002025 85C0 test eax,eax
10002027 74 15 je short locarxjh.1000203E
10002029 8B4424 04 mov eax,dword ptr ss:[esp+4]
1000202D 50 push eax
1000202E FF15 04A00010 call dword ptr ds:[<&ADVAPI32.RegCloseKey>]
; ADVAPI32.RegCloseKey

10002832 68 04010000 push 104
10002837 56 push esi
10002838 6A 01 push 1
1000283A 6A 00 push 0
1000283C 68 44C20010 push locarxjh.1000C244
; ASCII "load"
10002841 51 push ecx
10002842 FF15 00A00010 call dword ptr ds:[<&ADVAPI32.RegSetValueExA>]
; ADVAPI32.RegSetValueExA

10002042 68 04010000 push 104
10002047 56 push esi
10002048 6A 01 push 1
1000204A 6A 00 push 0
1000204C 68 94C10010 push locarxjh.1000C194
; ASCII "foxwow"
10002051 51 push ecx
10002052 FF15 00A00010 call dword ptr ds:[<&ADVAPI32.RegSetValueExA>]
; ADVAPI32.RegSetValueExA

[1] [2] [3] 下一页