![](/d/file/p/2023/11-24/87048f10d4729eb9db5267c943526530.jpg)
背景
该款木马可以通过网络远程和物理接触两种方式进行安装,具有7X24小时在线运行能力,使NSA的系统操控者和数据窃密者可以上传下载文件、远程运行程序、获取系统信息、伪造ID,并在特定情况下紧急自毁。
简介
![](/d/file/p/2023/11-24/7aabafae3f273f7c12d72c1df5423506.png)
![](/d/file/p/2023/11-24/ff675af62b4e861f1197d7f75f3ff034.png)
![](/d/file/p/2023/11-24/47874cb7648270b817024d7242832f13.png)
![](/d/file/p/2023/11-24/bbb95899b2a9f4dd4aca433a61789d7f.png)
![](/d/file/p/2023/11-24/a259d3eb670a979394da48ef5ef47c2b.png)
![](/d/file/p/2023/11-24/a20cfd32a2b0867f963effe63e566f3a.png)
样本分析
3.1功能简述
3.2“验证器”木马程序功能指令
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
3.3回传信息
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
3.4详细功能分析
在“验证器”(Validator)木马加载到DllMain后,会首先创建线程,执行初始化动作,主要包含以下行为:
3.4.1线程函数1
使用异或运算动态加解密字符串,在使用时解密,使用完后加密回去,其使用的异或值有两种:0x3C和0x7F。
![](/d/file/p/2023/11-24/177bbff7ae2426966e4ee355cad0f4e6.png)
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
![](/d/file/p/2023/11-24/db6546298596ae551f568b986ad907ca.png)
![](/d/file/p/2023/11-24/a4c455de28b6329f172cbe227e9a11e4.png)
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
![](/d/file/p/2023/11-24/3ef22bd55108c9844e0f51437318aaa8.png)
![](/d/file/p/2023/11-24/a3ddb1cb6ea620f10a9e76ff818f0112.png)
![](/d/file/p/2023/11-24/801f64571d9a3710c31eeef7155a3e3d.png)
![](/d/file/p/2023/11-24/1531722da8c07e158bc2081bcf87785e.png)
![](/d/file/p/2023/11-24/b7a7b9e9b017e66a429f792da4958523.png)
![](/d/file/p/2023/11-24/a272913ff398290ef169840bd54cb723.png)
![](/d/file/p/2023/11-24/406535ecca447626306bbb1b5d6bf9b3.png)
3.4.2线程函数2
![](/d/file/p/2023/11-24/3db6519bbe67cf54351842dd4ac76da7.png)
![](/d/file/p/2023/11-24/5330e2ad8ef2327d86a225d17780706a.png)
![](/d/file/p/2023/11-24/03c6b894ed7ff7546da8a623a41b9f85.png)
![](/d/file/p/2023/11-24/f6ae2b41444721c6936048ed4745b29d.png)
![](/d/file/p/2023/11-24/1767d1b74c3e523b2d13cda6240f162f.png)
![](/d/file/p/2023/11-24/9e556d9d6b9c3cdb9cf147f24ab93acb.png)
![](/d/file/p/2023/11-24/023e012a99b6a408410f7ae4e71ea552.png)
![](/d/file/p/2023/11-24/ba870a4e6299ba5784c05e7fb8fb36b0.png)
重要预警
![weinxin](/zone_ci_images/zone.ci.png)
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论