KPOT窃密木马新变种分析

KPOT窃密木马新变种分析

概述:KPOT是窃密木马,主要用来盗取系统的各种信息,包括软件,硬件,系统等信息。

本次分析的KPOT的加解密秘钥为“RAfkLTapFMM12wme”。

1文件静态信息

1.1文件hash值

MD5:a49f082618faf36f0ecd02699708d38e

1.2文件无加壳


1.3编译时间

1.4导入表信息

导入函数就4个,一看就知道使用shellcode手法。


2.反汇编分析程序主函数

2.1程序主逻辑


2.2使用shellcode手法获取所需地址

使用shellcode手法获取kernel32.dll模块基地址,进程的默认堆地址,以及进程主线程的LastError值保存地址。


2.3获取Windows API函数地址

在sub_13058FB函数中,有一个长长的函数获取列表,具体逻辑自己分析,函数名字符串是加过密的,获取这些函数主要有两个目的,一是获取本机的各种信息,二是把获取的信息上传到恶意服务器。

下面是获取的函数列表:





2.4加密获取的系统信息

加密函数为sub_1303dd7,函数有4个参数。分别为需要加密的字符串指针,字符串长度,加密秘钥,加密秘钥字符串长度。系统数据被在原处(参数1地址)加密保存。

加密逻辑反汇编分析:

加密逻辑od逆向调试分析:

这是加密前的状态。


2.5上传系统信息

最重要的一步,使用http协议通过80端口,将本机的系统信息上传到服务器中。恶意服务器现在还能用哦!反正我是虚拟机,不在乎了。

后面使用send函数再次发送了一次,我就不分析了。可能使用为了确保发送成功。






评论