很喜欢配图
伪造的850Game钓鱼 站
木马伪装
木马分析
“$MSRecycle.Bin”目录下的“TsiService.exe”执行后,会读取同目录下的“xp.ios”进行解密再通过加载到内存中执行。
通过解密算法对“$MSRecycle.Bin”目录下“xp.ios”进行解密,我们就能得到木马程序。
解密后
遍历进程,检测杀软
获取主机名
通过将$MSRecycle.Bin”目录下的MicroRecycle.dll添加到HKEY_LOCAL_MACHINESOFTWAREMicrosoftRasAdminDlldllpath中实现开机启动
获取键盘信息
通过查询该邮箱进行邮件反查,得到这个邮箱关联的两个域名。
而993game.com同样也是一个伪装成棋牌游戏的 站,下载的电脑版的游戏大厅程序也是一个木马程序,功能与gam850.com中的木马程序差不多,就不再重复了。整理前面获取域名的信息,我们将两个域名进行简单的关联:
拷贝自身到C:\WINDOWS目录,文件名为随机的6个字母。
创建vbs脚本将执行程序自身删除
遍历进程,检测杀软程序
联 下载文件
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!