查看: 4518|回复: 5
收起左侧

[转帖] 分享:VBS远控木马

[复制链接]
iFacebook
头像被屏蔽
发表于 2014-10-24 20:52:22 | 显示全部楼层 |阅读模式
本帖最后由 iFacebook 于 2014-10-24 20:57 编辑

360技术博客:http://blogs.360.cn/360safe/2014/10/24/vbs_cc_trojan/

最近捕获到一个vbs后门脚本,发现比较有意思,根据以往遇到的脚本,绝大多数都是蠕虫、下载者(从木马服务器下载一个远控)这类或者是配合木马本身做自删除中间文件,极少遇到本身就是后门或是远程控制类木马,原因是这类木马的局限性较大,一些复杂功能不能完整编写。简单分析下。

木马基本信息:

MD5:0ad2a50ac1a1a98ce3db134e795e2974
大小:97,525 字节
目标端口:1346
上线域名:略
原始文件局部一览:

根据脚本本身,拿python写了一个简单的解密片段得到明文vbs恶意文件
或者更简单的方法就是在executeGlobal
'executeGlobal (CKglagJDVsalqnU)
set fso =createobject("scripting.filesystemobject")
fso.createtextfile("C:\\1.txt").write CKglagJDVsalqnU
语句的时候,直接将语句写到另一个文件保存下来。
木马执行:
VBS脚本启动的时候被Wscript.exe分析执行,即Wscripts是VBS脚本的解释器。
木马协议特征:
该木马传输主要是同过http协议传输,同时以字符串“<|>”作为信息分割,通过WMI查询本地计算机信息以及安全信息。
set objsecuritycenter = getobject("winmgmts:\\localhost\root\" & sc)
Set colantivirus = objsecuritycenter.execquery("select * from antivirusproduct","wql",0)
for each objantivirus in colantivirus
   security  = security  & objantivirus.displayname & " ."

该后门已知功能包括:


本地监听:
本地监听到上线数据包。
上线数据信息是放在user-Agent里面


上线后接受远程服务器的指令:


利用python写个简易的脚本,模拟服务端,远程执行cmd命令,
得到的效果如下(虚拟机中显示):


可以看出除了传统PE木马外,木马作者配合其他形式脚本,制作出来的木马能起到免杀效果,未来可能会出现其它解释性语言编写木马也说不定。
附:
python解密code片段:
def decode_code(arg,key):
   return chr(ord(arg)-ord(key[0]))
encodeString="加密长字符串"
split_key = "~*"
key = "PqUYslk7QB7zwn7g6BiT7lsXlOixZ7ubWR2"
text=''
encode_list=encodeString.split(split_key)
for i in encode_list:
   text=text+decode_code(chr(int(i)-847),key)
with open('code','w') as f:
   f.write(text)

from SimpleHTTPServer import SimpleHTTPRequestHandler
from BaseHTTPServer import BaseHTTPRequestHandler
from BaseHTTPServer import HTTPServer

class MyHTTPRequestHandler(BaseHTTPRequestHandler):
   def do_POST(self):
       text=self.deal_post_data()
       if text is not None:
           print text
       enc='utf-8'
       self.send_response( 200 )
       self.send_header("Content-type", "text/html;charset%s" %enc )

       ct = r'cmd-shell<|>dir c:\windows'
       self.send_header('Content-length', str(len(ct)))
       self.end_headers()
       self.wfile.write(ct)

   def deal_post_data(self):

       if remainbytes:
           data = self.rfile.read(remainbytes)
           return data

if __name__ == '__main__':
   port = 1346

   handler = SimpleHTTPRequestHandler

   httpd = HTTPServer(('', port ), MyHTTPRequestHandler)

   print "Server is running at port", port

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
yzsts
发表于 2014-10-26 13:59:59 | 显示全部楼层
最好是方点样本出来
iFacebook
头像被屏蔽
 楼主| 发表于 2014-10-27 10:00:28 | 显示全部楼层
yzsts 发表于 2014-10-26 13:59
最好是方点样本出来

不成,那不是散播病毒了吗。一抓一个准
modi5156
发表于 2014-10-28 03:09:03 | 显示全部楼层
这货直接就是一个*.VBS的文件的吗?
prawnliu
发表于 2014-10-30 10:42:43 | 显示全部楼层
modi5156 发表于 2014-10-28 03:09
这货直接就是一个*.VBS的文件的吗?

对,就是个纯VBS的远控
modi5156
发表于 2014-11-1 02:50:58 | 显示全部楼层
prawnliu 发表于 2014-10-30 10:42
对,就是个纯VBS的远控


编写的人太牛X了
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-25 17:00 , Processed in 0.144118 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表