远控服务器 木马
样本分享 远控后门小马,求大神分析
匿名用户 2020-06-06 18:14:09 1703次浏览

求大神分析

ip地址(3) 威胁情报数目 开放端口 所属域名 相关样本 微步标签 < 1/1 >
举报
评论 (21
匿名用户 2021-05-11 12:57:00 回复 举报
看看
匿名用户 2021-05-11 12:52:52 回复 举报
(。・∀・)ノ゙嗨
匿名用户 2021-05-11 12:48:44 回复 举报
再累还得学习
匿名用户 2021-05-11 12:44:37 回复 举报
再累还得学习
匿名用户 2021-05-11 12:40:18 回复 举报
绕过
匿名用户 2021-05-11 12:36:07 回复 举报
gogogo
匿名用户 2021-05-11 12:31:53 回复 举报
^^
匿名用户 2021-05-11 12:27:36 回复 举报
元芳呢
匿名用户 2021-05-11 12:23:25 回复 举报
(。・∀・)ノ゙嗨
匿名用户 2021-05-11 12:19:08 回复 举报
路过,不带走
匿名用户 2021-05-11 12:14:56 回复 举报
姿势不错
匿名用户 2021-05-11 12:10:47 回复 举报
(。・∀・)ノ゙嗨
匿名用户 2021-05-11 12:01:34 回复 举报
不断学习,不断进步
匿名用户 2021-05-11 11:56:07 回复 举报
飘过,不带走
匿名用户 2021-05-11 11:51:51 回复 举报
楼主辛苦
匿名用户 2021-05-11 11:47:40 回复 举报
元芳呢
匿名用户 2021-05-11 11:43:31 回复 举报
元芳呢
匿名用户 2021-05-11 11:39:21 回复 举报
有细节不
what 2020-06-12 17:03:52 回复 举报
匿名用户 2020-06-09 14:45:47 回复 举报
1.样本复制自身到C:\Windows\Temp\dasHost.jpg 2.样本解密字符串http://qbc2iv44a.BkT.ClOuDdN.cOm/2.xml 3.访问http://qbc2iv44a.BkT.ClOuDdN.cOm/2.xml获取到一个xml文件 4.2.xml文件内带有一个.net的dll,负责进行文件下载 5.2.xml中的url等信息http://qbc2iv44a.bkt.clouddn.com/temp.dp@http://qbc2iv44a.bkt.clouddn.com/2.rar@c:\ProgramData\$12QB45221$@QQ20190522141458.png@DX11CallerWrapper.exe 6.temp.dp是一个exe程序,功能是解压文件 7.2.rar是个压缩包,由temp.dp解压。 8.包含文件:Bootcamp.dll dwbase.dll dwutility.dll DX11CallerWrapper.exe QQ20190522141458.png WindowsUpdate.txt zlibwapi.dll 9.DX11CallerWrapper.exe和dwutility.dll有yy的官方签名。Bootcamp.dll和dwbase.dll无签名,dwbase.dll为dll劫持进行恶意代码执行。 10.在DX11CallerWrapper.exe加载完dwbase.dll后,dwbase.dll会将WindowsUpdate.txt解密为可执行文件,放在C:\Users\user\AppData\Roaming\LeagueClient并执行 11.dwbase.dll负责进行网络通信,LeagueClient可进行shell执行
xxx 内测用户 2020-06-09 21:07:07 回复 举报
奖励计划banner
今日推荐