一个注册为输入法的木马分析
我已把此木马样本传到以下链接:http://download.csdn.net/detail/cs08211317dn/4096819
一.大致描述:
1. 样本名称:z.exe
2. 家族名: PWS:Win32/Zuten.gen!D(MIcrosoft)
3. MD5:E298C3D646F3F25F2DE7DA8509A3D3B0
4. 技术细节大致描述: 木马释放两个.ocx文件,修改explorer.exe内存,使其以模块的方式调用这两个.ocx文件;并将其中一个.ocx文件注册为输入法以达到自启动并注入其他进程的目的。
二、技术细节
1. 进程 z.exe创建文件C:\WINDOWS\system32\mgt13002.ocx和C:\WINDOWS\system32\mgt99008.ocx,并修改explorer.exe的内存让explorer.exe进程加载模块C:\WINDOWS\system32\mgt13002.ocx和C:\WINDOWS\system32\mgt99008.ocx。
2. 进程z.exe创建文件c:\windows\system32\jahjah13.exe。
进程 c:\windows\system32\jahjah13.exe删除文件z.exe并修改注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\KeyboardLayouts\E0220804\Ime File的值为MGT99008.OCX,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\KeyboardLayouts\E0220804\Layout Text的值为US,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\KeyboardLayouts\E0220804\Layout File的值为kbdus.dll。以达到将MGT99008.OCX注册为输入法,随机自启动,并注入所有以explorer.exe为父进程的进程(包括notepad.exe)。
注册表截图如下:
木马文件注入情况截图如下:
三、手杀方案
1. 方案1
(1) 删除注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\KeyboardLayouts\E0220804,使得文件C:\WINDOWS\system32\mgt99008.ocx无法作为输入法自启动。
(2) 重启计算机后,删除文件C:\WINDOWS\system32\mgt13002.ocx和C:\WINDOWS\system32\mgt99008.ocx。
(3) 删除文件c:\windows\system32\jahjah13.exe。
2. 方案2
(1)用powertool“强行卸载模块并删除模块文件”处理成功。截图如下:
如果用普通卸载模块或者强行卸载模块都会失败。
(2)删除文件c:\windows\system32\jahjah13.exe。
一个注册为输入法的木马分析相关推荐
- python输入中文教程_如何用Python从头开始实现一个中文拼音输入法?
中文输入法是一个历史悠久的问题,但也实在是个繁琐的活,不知道这是不是网上很少有人分享中文拼音输入法的原因,接着这次NLP Project的机会,我觉得实现一发中文拼音输入法,看看水有多深,结果发现还挺 ...
- 编辑python用什么输入法_用Python从0开始实现一个中文拼音输入法!
众所周知,中文输入法是一个历史悠久的问题,但也实在是个繁琐的活,不知道这是不是网上很少有人分享中文拼音输入法的原因,接着这次NLP Project的机会,我觉得实现一发中文拼音输入法,看看水有多深,结 ...
- python自定义拼音输入法_用Python从0开始实现一个中文拼音输入法
众所周知,中文输入法是一个历史悠久的问题,但也实在是个繁琐的活,不知道这是不是网上很少有人分享中文拼音输入法的原因,接着这次NLP Project的机会,我觉得实现一发中文拼音输入法,看看水有多深,结 ...
- 一个简单木马分析及接管利用
最近一段时间,感觉工作很是杂乱无章,博客也基本没时间来写,基本每月一篇,其实每写一篇也代表目前我自己的工作状态及内容.最近搞逆向这一块,找了些样本分析例子,自己也研究了一下,感觉有不少好东西,当然这些 ...
- 一个淘宝客劫持木马的分析
一个淘宝客劫持木马的分析 近期,我们收到很多淘宝卖家的投诉,报告说他们的淘宝联盟付费推广被莫名奇妙地扣除了一部分,而这个商品是没有经过推广的.360病毒响应中心的工程师收 到投诉后,经过一系列的分析和 ...
- 绿色并不代表安全,一个隐藏在绿色软件中的木马分析
腾讯电脑管家 · 2016/02/03 18:49 0x00 背景 "绿色软件"通常指的是那些无需安装即可使用的小软件,这些小软件运行后通常可以直接使用,且使用后不会在注册表.系统 ...
- 对一个windows2000注册表项的粗略分析(转)
对一个windows2000注册表项的粗略分析(转)[@more@] [HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Executio ...
- 【木马分析】远控盗号木马伪装成850Game作恶
很喜欢配图 前言 近期,360QVM团队捕获到一类在网上广泛传播的远控盗号木马,该木马伪装为正规棋牌游戏850Game的安装程序,在伪造的钓鱼网站(如:www.gam850.com)上挂马并诱骗用户下 ...
- 移花接木大法:新型“白利用”华晨远控木马分析
360安全卫士 · 2015/05/28 5:11 0x00 前言 "白利用"是木马对抗主动防御类软件的一种常用手法.国内较早一批"白利用"木马是通过系统文件r ...
最新文章
- 初识Mysql(part15)--我需要知道的4条Mysql语句之操作表
- idea中Gitlab项目导入导出
- HDR和SDR的区别
- 下面选项中不是开发java程序的步骤是_Java基础试题及其答案2
- 【Elasticsearch】Elasticsearch 7.6 IDEA 源码环境搭建
- 春运期间长江海事局开辟四类运输“绿色通道”
- PDE13 Wave equation: separation of variables
- IOS中延时执行的几种方式的比较和汇总
- UTF-8 encode decode 集合
- 网络编程-在线英英词典项目
- CAD/CASS断面插件合集断面工具箱批量提取断面数据绘制断面图(断面必备)
- 七天学完Vue之第一天学习笔记(Vue的介绍,时间修饰符以及常用指令)
- python处理xps文件_自学WPF--第二十四课XPS文件处理
- 若依设置匿名访问路径
- 你可能不知道,你登曾是个气喘小胖子,靠努力逆袭完成梦想
- oracle gbk ebcdic,文件编码 ANSI、GBK、GB2312、MS936、MS932、SJIS、Windows-31 、EUC-JP 、EBCDIC 等等之间的区别与联系...
- Python知道cos值求角度_机械臂正运动学-DH参数-Python快速实现
- 付费获取密码平台原理
- c语言5个人分鱼程序题,C语言递归解决5人分鱼问题
- Altova xmlSpy测试webService的使用
热门文章
- python bar图_python使用matplotlib绘图 — barChart | 学步园
- python程序分析,用Python编写分析Python程序性能的工具的教程
- 辽源天气预报软件测试,辽源天气预报15天
- php wmi,window_Win7系统中的wmi控件是什么?有什么用?, wmi控件是什么Windows - phpStudy...
- reset java_Java PushbackReader reset()用法及代码示例
- centos svn服务器端口配置文件,centos下配置svn服务器
- linux vfs 根节点名称,Linux:文件,目录项,索引节点,超级块,VFS,具体文件系统...
- java - 判断任意一天是这年的第几天
- xampp命令行连接MySql数据库
- linux客户端 存活检测,Linux下客户端检测服务器的 heartbeat