某远控木马分析
基本信息
报告名称:某远控木马分析
作者:sshui
发现时间:2023/04/11
分析时间:2023/04/26
样本信息
远控.exe
行为分析
行为
双击自解压,释放出7个隐藏文件,并执行一个恶意程序
wscript.shell。执行
wscript.shell,该程序启动了一个具有隐藏界面的进程,在文件系统上创建了脚本文件,获取到系统的信息。wscript.shell启动了rdService.exe程序,该程序检测当前是否处于虚拟环境,然后启动了net1.exe程序。net1.exe程序向系统服务器发送控制码,进行远控。远控连接域名
auth.rdviewer.com。
分析
域名
auth.rdviewer.com发现该域名属于济南快安网络科技有限公司,这是一家销售远控软件的公司。同时,在官网发现一则公告。该公告表明有用户破解该软件实现无提示安装,并通过该方式非法远控他人电脑。https://www.rdviewer.com/2717.html
综上,该远控木马通过自解压方式,无提示安装已配置好的正规RdViewer远控软件,实现远控他人电脑。
详细分析
222.vbs
这段代码主要作用就是通过wscript.shell程序一个启动不断网安装.vbs脚本。虽然看似寻找了一个ZhuDongFangYu.exe的进程,但是查找结果对后续运行毫无影响。
不断网安装.vbs
这段代码首先打开了使用说明.txt,并将窗口隐藏。
接着在等待2秒后,启动reService.exe进程,同时删除该程序的启动项。再等待3秒,再次执行reService.exe,但是重新安装了该程序的启动项。同样,不提示任何信息。
rdService.exe
查壳
使用UPX进行加壳
反编译
程序首先启动了一个exe程序。
接着程序检查当前用户权限,若是管理员则启动RdViewer客户端,完成注册安装。
最后程序终止自身线程。
综上,该exe程序为正版软件RdViewer客户端的恶意补丁,只为了实现无感安装客户端而存在。
RdClient.exe
该程序为RdViewer客户端。
攻击者已经设置好远控信息,当受害者打开木马时就会自动被上线。
cfg.ini
攻击者事先准备好的配置信息。
lnk.dat&使用说明.txt
攻击者为了实现无感安装而准备的数据。
总结
该远控木马,是攻击者利用正规远控软件打上无感安装补丁后,使用7z打包成的自解压文件。
修复与防范措施
- 删除解压出的七个隐藏文件。
- 安装杀毒软件防御木马攻击。
- 不打开来历不明的文档,以及带有图片、文件夹、文档、音视频等图标的文件。
- 打开显示文件后缀名,显示隐藏文件选项。


















