【NB】一款DOS木马程序的分析￥

显示全部楼层 · 2022-8-5 00:04:15

我是阿隐[爱心]今天更一篇木马分析的帖子
首先是样本信息
文件名称：803c617e665ff7e0318386e24df63038
文件大小：61KB
病毒名称：DDoS/Nitol.A.1562
MD5：803c617e665ff7e0318386e24df63038
Sha-1：e05277aafd161470b020e9e8d2aa2dcb9759328c

接下来是样本行为
打开与当前病毒进程文件同名的信号互斥量，判断信号互斥量是否存在，防止病毒行为的二次执行。

通过注册表"SOFTWARE\\JiangMin\\"和"SOFTWARE\\rising\\"，判断江民、瑞星杀毒软件的是否存在。

创建进程快照，判断360的杀软进程360sd.exe、360rp.exe是否存在；如果存在，则结束360杀毒的进程360sd.exe和360rp.exe。

通过注册表"SOFTWARE\\JiangMin\\"和"SOFTWARE\\rising\\"，判断江民、瑞星杀毒软件是否存在；如果江民、瑞星的杀软存在，则创建线程在用户桌面的右下角伪造360杀软的弹窗界面迷惑用户。

创建线程利用IPC入侵用户的主机，种植木马病毒。利用弱口令猜测用户主机的用户名和密码，如果入侵成功则拷贝当前病毒进程文件到用户主机系统中，然后运行病毒文件，创建病毒进程。

如果当前病毒进程IPC入侵用户的局域网的主机系统成功，则拷贝当前病毒进程文件到用户的主机系统中，然后运行病毒文件，创建病毒进程。

创建线程，在移动设备盘中释放病毒文件anturun.inf，进行病毒的传播。

楼内更新[爱心][爱心]

yichong · 2022-8-6 06:04:24

看看村长这是什么东东

liqiang24 · 2022-8-6 14:58:59

不错支持下

梦影 · 2022-8-9 07:36:25

看起来好像不错的样子

天镜盗梦 · 2022-8-9 13:03:15

楼猪V5啊

半度微凉 · 2022-8-10 21:36:08

1v1飘过

伴我多久 · 2022-8-11 18:01:28

1v1飘过