[原创]一个通过解析数据包获取密码的木马之详细分析
发表于:
2010-9-10 19:04
[原创]一个通过解析数据包获取密码的木马之详细分析
木马时间戳:2010-08-25 10:41:03http://www.crsky.com/soft/7033.html http://www.52pojie.cn/thread-62464-1-1.html MPC.exe分析(木马主体)
:pp
del "C:\Documents and Settings\Administrator\桌面\MPC.exe"
if exist "C:\Documents and Settings\Administrator\桌面\MPC.exe" goto pp
del "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\deleteMe.bat"
while(1)
{
SleepEx(INFNITE, 1);
}
struct _DATA_PACK{
struct _STRUCT1{
DWORD index; //低4位保存着数据包中第一个结构的大小,单位为4字节
byte unkonw5;
byte unkonw6;
byte unkonw7;
byte unkonw8;
byte unkonw9;
byte VerifyByte_Is_6; //通过此位来是不是6,判断是否为要过滤的数据包
byte unkonw11;
byte unkonw12;
DWORD dw1; //存储指令类型相关信息,连贯的指令需要此处相同
DWORD dw2; //存储指令类型相关信息,连贯的指令需要此处相同
……
}
struct _STRUCT2{
WORD w1; //存储指令类型相关信息,连贯的指令需要此处相同
WORD w2; //存储指令类型相关信息,连贯的指令需要此处相同
DWORD dw2;
DWORD dw3;
byte StructLength; //高4位存储的是第二个结构的长度,单位为4字节
byte sign; //该位如果为1或4,则不处理该数据包
……
}
struct _INFO{
char info[变长];//需要进行拦截的信息
//用户名名格式:"USER XXXXXXX" X即为用户名,空格可以多个
//密码格式: "PASS XXXXXX" X即为密码,空格可以多个
}
}
struct _APP_DATA{
DWORD pre_ptr_APPDATA; //保存着上一个APP_DATA结构的指针,第一个节点的值为10003168
DWORD next_ptr_APPDATA; //保存着下一个APP_DATA结构体指针,最后一个节点的值为10003168
DWORD struct1dw2; //指令类型匹配信息
DWORD struct1dw1; //指令类型匹配信息
WORD struct2w2; //指令类型匹配信息
WORD struct2w1; //指令类型匹配信息
DWORD SystemStartedTime; //GetTickCount();
char string[127]; //保存接收到的username or passwords
……
}
struct _OFFSET_3160{
DWORD dw1; //上一个指令结构,初始化时指向自身
DWORD dw2; //下一个指令结构初始化时指向自身
}
struct _OFFSET_3168{
DWORD ptr_LAST_APP_DATA; //保存着APP_DATA链表最后一个节点
DWORD ptr_APP_DATA; //保存着APP_DATA链表的第一个节点
}
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
上传的附件:
http://www.unpack.cn/viewthread.php?tid=48383&jdfwkey=kt9yu3
