前言:网上找的样本是EXE的,没有邮件样本,所以只做了exe分析。

一、Emote木马相关信息

文件: C:\Users\Desktop\Samp.exe

大小: 249856 bytes

文件版本:1, 4, 2, 50

修改时间: 2018年11月21日, 21:22:50

MD5: 681C62D925ED8024F9104159ACC4068B

SHA1: D16A494A1CD7157C06C1831D5F23EAE52AD56B0B

CRC32: 1E90E446

大致行为:

第一步:木马获取了Getprocaddress和Loadlibrary的地址后获取自己所需要的API地址。之后申请内存,释放恶意代码,通过修改内存属性,跳转至恶意代码。

第二步:加载动态库,获取动态库导出函数的地址。完成后会创建互斥体和事件,之后创建快照,遍历进程。在查找到自身进程后,会创建自身的子进程,之后退出进程。(退出进程前有一个判断是关于下一步能否继续运行的,如果进入了创建进程就不会进入下一步,反之才能下一步)

第三步:子进程的操作。获取windows目录,并查看C盘属性。完成后注册窗口类,创建窗口,设置定时器,定义消息分发机制。定时器的回调是恶意代码。

进入定时器,也有一个判断,首先会获取一个值,这个值是消息分发中赋值的。这个值要大于0小于3,不在范围内返回到消息分发中。

判断完毕后,值会减1,即0,1,2。

值为0时,首先获取自身文件名。在获取C:windows\system32文件夹里的文件名,查找是否有"tlntusbccid"这个文件。有就退出,没有的话在此目录创建这个文件(会失败)。之后获取主机名并保存。然后删除C:windows\system3\chunklayout.exe。接着获取临时目录路径,并创建33D4.tmp文件。在重新创建tlntusbccid.exe。之后创建服务,使exe自启。

值为1时,加载动态库,获取API地址,还有加密操作。

值为2时,获取系统信息,进程信息,然后和主机名一起加密。完成后获取服务器IP,用加密数据生成cookie。接下来用get方式通过cookie连接服务器,连接成功会读取数据(我没获取到数据。。。)。

二、分析过程

 1.样本有ZP壳,esp定律过壳后本想脱壳,实验一番后发现这个壳脱壳后还要补代码,就没脱壳。前面略过,直接恶意代码。

接下来就是第二步的流程。

下图可以看见那个判断    JE 003BD020

创建快照,遍历进程。

创建多个互斥体,事件

然后获取自身路径,创建子进程

退出进程

2.子进程操作。

获取windows目录,以及C盘属性

注册窗口类

创建窗口

设置定时器

窗口消息分发

3.定时器

开始有个判断

值为0

详细过程

获取服务句柄

然后获取system32路径,以及文件名

没有"tlntusbccid"这个文件名就创建文件

获取主机名

保存

删除文件

获取临时文件夹路径

在临时文件夹创建33D4.tmp文件

删除文件

打开服务

创建服务自启

运行服务

注册表

然后删除一个名为"C47A8A60"的服务,但我并没发现有这个服务

值为1时,加载动态库。略过。。。

值为2时,加密信息,连接服务器

获取系统信息

创建快照,遍历进程

保存进程信息

整理信息

加密上述数据

获取服务器IP

获取cookie

之后连接服务器

设置http代理

发送连接请求

成功的话就获取数据

结束了。。。

下面放个抓包图

显示连接成功,为什么没有返回信息

Emote木马分析的更多相关文章

  1. 攻打医院服务器的SamSam勒索木马分析

    攻打医院服务器的SamSam勒索木马分析 近日一款名为SamSam的勒索木马在国外爆发.该木马利用医院系统的服务器漏洞实施入侵,再进行加密勒索钱财.由于医院网络信息安全水平普遍薄弱,SamSam成功感 ...

  2. 木马分析出现python语言,360的安全人员不禁感叹还有这种操作?

    几年前,敲诈者木马还是一个默默无闻的木马种类.然而,由于其极强的破坏力和直接且丰厚的财富回报,敲诈者木马这几年已经一跃成为曝光率最高的木马类型——甚至超越了盗号木马.远控木马.网购木马这传统三强.与此 ...

  3. (翻译)FakeKaKao木马分析

    这是暑假时看到的一篇病毒分析文章,觉得里面有很多东西值得学习,刚好这几天有空就将它翻译了出来.有不对的地方请大家指正! FakeKaKao木马分析 Virus Bulletin是一个关于流氓软件与垃圾 ...

  4. 孟加拉央行SWIFT攻击事件恶意木马分析(转)

    第一章 分析概述 该恶意木马样本为运行于winodws平台上的PE文件(名称:evtdiag.exe).文件大小为64KB,编译时间是2016年2月5日. 经分析,该样本为定制的攻击SWIFT客户端程 ...

  5. Ztorg木马分析: 从Android root木马演变到短信吸血鬼

    本月第二次,Google 从官方应用商店 Google Play 中移除了伪装成合法程序的恶意应用.被移除的应用都属于名叫 Ztorg 的 Android 恶意程序家族.目前为止,发现的几十个新的Zt ...

  6. “Xavier”安卓木马分析:可静默收集数据并远程代码执行

    趋势科技研究发现了一款Android恶意木马——Xavier.在谷歌Play应用市场中,超过800款Android应用感染了该恶意木马,影响数百万Android用户.感染的应用范围覆盖图片编辑器,墙纸 ...

  7. 伪装为 吃鸡账号获取器 的QQ木马分析

    本文作者:i春秋作家坏猫叔叔 0×01 起因随着吃鸡热潮的来临,各种各样的吃鸡辅助和账号交易也在互联网的灰色地带迅速繁殖滋生.其中有真有假,也不乏心怀鬼胎的“放马人”.吃过晚饭后在一个论坛看到了这样一 ...

  8. “DNS隧道”盗号木马分析——类似hjack偷密码然后利用dns tunnel直传数据发送出去

    摘自:http://www.freebuf.com/articles/network/38276.html# 运行后不断监控顶端窗口,一旦发现为QQ,就弹出一个自己伪造的QQ登陆窗口,诱导用户输入密码 ...

  9. 反病毒攻防研究第005篇:简单木马分析与防范part1

    一.前言 病毒与木马技术发展到今天,由于二者总是相辅相成,你中有我,我中有你,所以它们之间的界限往往已经不再那么明显,相互之间往往都会采用对方的一些技术以达到自己的目的,所以现在很多时候也就将二者直接 ...

随机推荐

  1. php 识别二维码(转载)

    近段需要写一个通过PHP来识别二维码的功能,在网上查了很久才解决问题.以此来记录下来解决问题的方法. 最开始找的方法是一个叫 php-zbarcode 的扩展,自己照着网上的安装步骤安装了 Image ...

  2. Linux系统的命令应该如何记?

    Linux入门篇: 很多刚入门的同学,就像无头的苍蝇一样,到处找视频.书籍.网站帖子之类的学习方式,视频虽然讲得详细,但是时间的投入也是巨大的,播放时间,练习时间,加起来很吓人,其实啊很少有人能坚持把 ...

  3. IEnumerable、IEnumerator、ICollection、IList、List的继承关系及简单使用

    IEnumerable和IEnumerable<T>接口在.NET中是非常重要的接口,它允许开发人员定义foreach语句功能的实现并支持非泛型方法的简单的迭代,IEnumerable和I ...

  4. java web 下载本地文件并弹出下载框

    window.open("/dept/download") jsp代码 @RequestMapping(value = "/download", method ...

  5. oracle_dataGuard_11G

    [李红]--切记_从库只安装实例_不需要 dbca 创建数据库 但是 netca 创建监听看个人喜欢,我反正是创建了.[DataGuard_主数据库的参数配置]1.启用 force logging 功 ...

  6. loj2083 优秀的拆分 [NOI2016] SA

    正解:SA 解题报告: 我永远喜欢loj! 显然$AABB$串相当于是由两个$AA$串拼起来的,所以可以先考虑如果求出来了所有$AA$串怎么求答案? 就假如能统计出$st[i]$表示所有以$i$为开头 ...

  7. Spark入门到精通--(第八节)环境搭建(Hadoop搭建)

    上一节把Centos的集群免密码ssh登陆搭建完成,这一节主要讲一下Hadoop的环境搭建. Hadoop下载安装 下载官网的Hadoop 2.4.1的软件包.http://hadoop.apache ...

  8. Spring+Mybatis 复杂的分组查询

    1.需要的结果数据格式为 { "responseCode": "0000", "responseMsg": null, "data ...

  9. 《图解HTTP》读书笔记(七:通信数据转发程序-代理/网关/隧道)

    HTTP通信时,除客户端和服务器以外,还有一些用于通信数据转发的应用程序,例如代理.网关和隧道,它们可以配合服务器工作.这些服务器和应用程序可以将请求转发给通信线路上的下一站服务器,并且能接收从那台服 ...

  10. 【长文】Google面试官分步解析自己泄漏前的面试题,超多干货和建议

    本文翻译自Google工程师/面试官Alex Golec的文章:Google Interview Questions Deconstructed: The Knight's Dialer:翻译:实验楼 ...