欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

传统白加黑远控木马分析

来源:本站整理 作者:佚名 时间:2018-09-11 TAG: 我要投稿

(2).QtxVGA导出函数
函数一开始会去读取之前的日志文件,然后会创建一个线程去配置电脑上的网络代理信息,如果存在360的话,还会配置端口转发,将96端口的访问全部转发到116.28.191.115:96上去。
此处设置端口转发的目的,是和目标服务器之间建立SSH隧道连接,从而绕过防火墙的拦截(猜测。。。)。将本机的某个端口(96)转发到远端指定机器的指定端口(116.28.191.115:96);本地端口转发是在localhost上监听一个端口,所有访问这个端口的数据都会通过SSH隧道传输到远端的对应端口。


接着,就进入到了远控的关键函数F_HackKernelModule_0了。
在F_HackKernelModul_0中,主要包含了两方面的内容:
1、获取计算机的IP、名称、系统版本号等信息,加密送给黑客。


2、根据黑客发来的指令,执行相应的操作,如:关闭注销系统、读取模拟键盘、鼠标的操作、屏幕监控、修改注册表、系统服务等。

具体如下:
1、对键盘、鼠标、剪切板的操作:

2、对硬盘文件的操作:

 3、对系统服务的操作:

 4、记录按键记录,并保存到dump.log文件中:

 5、对注册表的操作:

6、获取屏幕监控截图:

病毒的远控地址为:116.28.191.115:947(已下线)。另外,病毒在与控制端建立连接是,并未直接连接,而是在系统本地利用netsh,创建了一个本地的端口代理:

 猜测创建端口代理的做法,是为了隐藏其所创建的网络连接,当用户在查看网络连接时,不会被发现该连接是由病毒自身所创建:

上一页  [1] [2] 

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载