zisc.exec分析
不知道是哪位同学上传的了
分析了下
zjsc.exe不知道加壳没
OD载入下
上来就看见一个GetWindowsDirectoryA
附件:
您所在的用户组无法下载或查看附件应该是没壳了
一路单步,中间拖鞋拍死6只虫子。。。
又跑了很久感觉不对,关闭,退出OD
拿EQ隔离区运行了一下,
在WINDOWS目录释放了几个文件
附件:
您所在的用户组无法下载或查看附件这几个文件中,.txt和.chm文件是火星含义的。。。(貌似是登陆宣言)
附件:
您所在的用户组无法下载或查看附件创建一个名为DelphiService的服务
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Connections]下
修改了SavedLegacySettings
删除了ProxyServer,ProxyOverride,AutoConfigURL
附件:
您所在的用户组无法下载或查看附件今儿得早点儿睡,就不OD了
再拿Restorator载入zjsc.exe,看到奇怪的地方了
里面还有一个PE资源
附件:
您所在的用户组无法下载或查看附件NETGOD1exe
导出为NETGOD1EXE.exe后查壳,发现是ASPack 2.12,脱壳后还是DELPHI写的。。。汗。。这个折腾啊
附件:
您所在的用户组无法下载或查看附件看了下RC,里面有WINSOCK等等
附件:
您所在的用户组无法下载或查看附件可以断定是个木马后门程序
推出来的信息只有:
delphi7开发
反弹式木马
屏幕:pmc.exe 有远程鼠标键盘控制(vmc.exe)
视频:spc.exe 语音,CHAT
文件:wjc.exe
升级:netgod_gx.exe,netgod_gx.bat
http://you36.com/soft/soft/NETGOD_GX.EXE下载:XZNET.BAT dlc.exe
端口可能:18888
反响连接为HTTP方式
http://you36.com/kfkfkf36/ididid36/ip.txt(下不下来,可能有密码,还是错了。。)
IP.TXT格式为:客户端IP+端口
没有继续看,估计可能有密码
功能很强,估计是个收费远控
还有几个费解的地方
附件:
您所在的用户组无法下载或查看附件 附件:
您所在的用户组无法下载或查看附件对THEME也有操作,难道是替换..?
ZJSC.RAR就是那个主程序了
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; TheWorld)
