看别人怎样调戏 软件捆绑 远控木马滴

KK院长

本文来自 ：  http://www.52pojie.cn/thread-422379-1-1.html


事情经过：某会员 发帖“最新版可用网盘分析工具”，我审核原创区的时候发现软件被捆绑了一个木马，我就将其ban了


没过一天，被ban的人又注册了一个马甲Ss゛锋子℡，还来发帖问为什么我ban他


一般情况下，如果是木马作者放木马不会这么呆又来注册一个马甲还问为什么ban他，因为ban了的原因是放木马是可以从小黑屋看到的，但放木马这个是事实（后面我给出具体病毒分析过程），难道作者自己不知道有木马？抱着这个想法我和他聊了会，由于昨天实在太忙，服务器还忙着维护，开始没有具体分析木马过程，只是简单运行后把木马释放的截图和代码发给他看，并把火眼分析木马的过程也发出来，。。。。。。。。。。。。

然后他就开始扯皮了，说是他的程序没问题，程序加了Shielden的壳，是不是壳干的？然后我就解释壳能做的，和程序能做的从代码可以区分，反正后面他就咬定Shielden干的了（我发给@Nooby ，Shielden的作者，一会让他来打脸）。

并且他又开始发了一个程序，并且新的程序真没有木马，但也没有加壳。更奇怪的是新的程序连易语言的花指令都没有了，之前有木马的程序还加了易语言花指令（懂易语言的同学可以解释下这个要怎么实现）。

截止到这时候我也抱有希望他可能真的不知道这个木马有没有，是不是模块干的，所以他扯一堆我也不理他让他发代码，有了代码就显而易见了，因为原始发出来的有木马，他发的代码要是有木马那情有可原，他不知道，如果代码没有木马，那肯定就是他放的木马了，不然木马和花指令自己没了？他发的代码验证没有木马过程，所以确定是他干的。也不可能是他易语言被感染了，因为他前面的原程序有木马，后面编译的就没木马。更不可能是se加壳的问题，这个我后面技术分析会讲，并且他自己也用se再加壳就没有出现木马。这些是经过从帖子都可以看出来，下面我带大家分析下这个木马过程：
过程：
网盘分析工具.exe运行后释放C:\WINDOWS\system32\Do\svchost.exe并运行，程序加了se的壳，可以直接带壳调试，程序还加了易语言花指令，直接用吾爱OD里面去易语言花指令工具去除，然后查看下字符串就找到关键了，代码如下：



可以清楚看到释放运行木马的过程在代码段上，去除易语言花指令后易语言的风格代码清晰可见，这位放木马的菜鸟别在往se身上赖了。

主体释放木马运行后继续运行自身，我们看看木马svchost.exe都干了什么？这个木马也是易语言编写




从字符串就可以大体看出干了什么，再结合代码就显而易见了，语言描述行为如下：
1、木马会伪装成声卡驱动添加启动下实现自启动，software\microsoft\windows\CurrentVersion\Run\声卡驱动
2、联网从XX/url.yexu.net.cn/111/kg.inf获取配置信息。
3、如果上面配置返回1（现在返回41），则执行创建一个Dielfl.bat批处理，写入DEL C:\*.*/S/F/Q，并执行。
4、执行完以后强制重启电脑。

如果木马作者把线上配置改为1，中毒中将执行C盘格盘，这就是木马的所有行为。


本文来自 ：  http://www.52pojie.cn/thread-422379-1-1.html     作者： 吾爱破解     Hmily

fuzhk

哦呦，真是神奇的地方。不过我看过那论坛，感觉管理不是很好，很多人在分析区求整、攻击病毒制作者，这不是个好现象！

旷月108

第一眼还以为原来你就是Hmily....

请叫我德玛西亚

早看过了  52新人发的软件我都不敢用

一次性账号

有人管是好事 但对破解还是不放心

KK院长

一次性账号 发表于 2015-10-25 21:36
有人管是好事 但对破解还是不放心

有的时候在小论坛下的东西要注意中枪。(*^__^*) 嘻嘻