基本信息

报告名称:某远控木马分析

作者:sshui

发现时间:2023/04/11

分析时间:2023/04/26

样本信息

远控.exe

image-20230426150137697

行为分析

行为

  1. 双击自解压,释放出7个隐藏文件,并执行一个恶意程序wscript.shell

    image-20230426150714599

  2. 执行wscript.shell,该程序启动了一个具有隐藏界面的进程,在文件系统上创建了脚本文件,获取到系统的信息。

  3. wscript.shell启动了rdService.exe程序,该程序检测当前是否处于虚拟环境,然后启动了net1.exe程序。

  4. net1.exe程序向系统服务器发送控制码,进行远控。

  5. 远控连接域名auth.rdviewer.com

分析

  1. 域名auth.rdviewer.com

    image-20230426151943310

    image-20230426152006703

    image-20230426152043627

    发现该域名属于济南快安网络科技有限公司,这是一家销售远控软件的公司。同时,在官网发现一则公告。该公告表明有用户破解该软件实现无提示安装,并通过该方式非法远控他人电脑。https://www.rdviewer.com/2717.html

    image-20230426152706769

    综上,该远控木马通过自解压方式,无提示安装已配置好的正规RdViewer远控软件,实现远控他人电脑。

详细分析

222.vbs

image-20230426154036156

这段代码主要作用就是通过wscript.shell程序一个启动不断网安装.vbs脚本。虽然看似寻找了一个ZhuDongFangYu.exe的进程,但是查找结果对后续运行毫无影响。

不断网安装.vbs

image-20230426154505481

这段代码首先打开了使用说明.txt,并将窗口隐藏。

image-20230426154825413

接着在等待2秒后,启动reService.exe进程,同时删除该程序的启动项。再等待3秒,再次执行reService.exe,但是重新安装了该程序的启动项。同样,不提示任何信息。

rdService.exe

查壳

image-20230426155737208

使用UPX进行加壳

反编译

image-20230427165251058

程序首先启动了一个exe程序。

image-20230427170732572

接着程序检查当前用户权限,若是管理员则启动RdViewer客户端,完成注册安装。

image-20230427171058565

最后程序终止自身线程。

综上,该exe程序为正版软件RdViewer客户端的恶意补丁,只为了实现无感安装客户端而存在。

RdClient.exe

该程序为RdViewer客户端。

image-20230427171659494

image-20230427171725826

攻击者已经设置好远控信息,当受害者打开木马时就会自动被上线。

cfg.ini

image-20230427172300000

攻击者事先准备好的配置信息。

lnk.dat&使用说明.txt

image-20230427172448610

image-20230427172457875

攻击者为了实现无感安装而准备的数据。

总结

该远控木马,是攻击者利用正规远控软件打上无感安装补丁后,使用7z打包成的自解压文件。

修复与防范措施

  1. 删除解压出的七个隐藏文件。
  2. 安装杀毒软件防御木马攻击。
  3. 不打开来历不明的文档,以及带有图片、文件夹、文档、音视频等图标的文件。
  4. 打开显示文件后缀名,显示隐藏文件选项。