新型白利用(暴风)远控木马

2015-05-12 来源:未知 作者:腾讯电脑管家
【文章摘要】该样本为远程控制木马,木马程序会通过层层利用、读取加密远控代码等方式想方设法的逃避杀软的查杀,并试图长期驻留用户电脑进行远程控制。

一、样本概述:
该样本为远程控制木马,木马程序会通过层层利用、读取加密远控代码等方式想方设法的逃避杀软的查杀,并试图长期驻留用户电脑进行远程控制

经分析样本母体 dsf.exe会释放子体文件Irsetup.exe,子体文件Irsetup.exe再释放了BFVudateM.dll文件和暴风影音文件 twunk.exe等文件;通过twunk.exe执行BFVudateM.dll,BFVudateM.dll再去读取并解密真正加密的远控代码文件 bfvupdate.dat,至此就可以远程控制用户电脑;最后还会搜集用户电脑相关信息,并发送至木马作者服务器


二、样本流程图概述




三、详细分析
1、BFVUpdateM.dll分析
1.1  通过CreateFileA和ReadFile两个函数,打开bfvudate.dat文件并读取加密的代码


1.2  通过OD动态调试分析,bfvudate.dat解密后其为PE文件,且为远控的主要代码



1.3  对zwCreateProcessEx进行inline Hook,写入自己的代码



2、Dump出来的bfvudate.dat解密分析
2.1  创建一个名为“fuck”的互斥体,防止重复运行


2.2  通过修改注册表的方式,将twunk.exe设置为开机启动


2.3  打开regedit.exe进程,并进行提权


2.4  通过WriteProcessMemory函数对regedit.exe进行Hook


2.5  试图尝试通过taskkill.exe结束金山进程


2.6  然后进行一系列远程控制操作


2.7  最后会搜集用户电脑相关信息,并通过send发送出去



四、总结
       此远控木马和最近非常流行的白加黑远控木马存在较大的差异最近发现的白加黑远控最大的特点就是利用了系统文件rundll32.exe文件外加一个黑的dll文件,在传播方面至少需要三个文件,分别是rundll32.exe、黑DLL文件、黑dat文件但是此远控木马只有一个exe文件,并且利用了暴风有效数字签名的文件;其它文件都是通过释放的方式添加到用户电脑,这在传播方面要较白加黑方便很多。

      目前电脑管家成功的发现了该病毒,让您的电脑处于健康状态。

   


电脑管家 V16

全新上线 更轻更快