[原创]Backdoor.Win32.UAManager.b-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]Backdoor.Win32.UAManager.b

2011-3-24 17:57 9575

[原创]Backdoor.Win32.UAManager.b

雪之苏

2011-3-24 17:57

9575

此木马是一个DLL，应该还有一个加载程序

1.病毒运行后，会调用CreateMutex建立一个名为UAM_4803互斥量，这样就保证系统中只有病毒的一个实例在运行

2.通过调用SeDebugPrivilege等函数提升权限

3.遍历进程对找到的第一个”svchost”进程，将自己将注入其内存，然后通过CreateRemoteThread启动其导出函数”Entry”。

注入执行部分:

1.通过尝试创建名为"UAM_4803"的互斥量来检查驱动是否加载，如加载则不做其它操作。
如果未加载则，注册服务,实现自启动驱动,并立即启动该服务

2.启动工作线程，连接远程服务器，接受命令，执行, 实现远程监控功能。

3.支持以下命令
cmd命令
结束指定进程
根据网址,下载文件（执行）
打开指定网址
设置主页
浏览目录
获得文件详细信息
同服务器进行上传和下载文件
打开,删除文件
创建,删除目录
清除日志
桌面截图

图片可能看的不清晰
附上IDB，里面部分已经注解
求精华。。求声望。。

本人决定从现在开始每周最少申精2篇。。。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

实例唯一.jpg （31.90kb，598次下载）
server启动部分.jpg （61.10kb，599次下载）
链接远程服务器.jpg （39.36kb，593次下载）
提升进程权限.jpg （33.57kb，602次下载）
寻找进程.jpg （21.97kb，600次下载）
DLL启动时候检测实例.jpg （42.99kb，602次下载）
命令.jpg （18.87kb，596次下载）
命令1.jpg （30.01kb，597次下载）
病毒原本与IDB.zip （477.87kb，42次下载）

收藏・9

点赞・6

打赏

最新回复 (17)
meakhella 雪币： 214 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 44 粉丝 0 关注私信	meakhella 2011-3-24 18:27 2 楼 0 是好东西，可是看不懂
邓韬雪币： 272 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 280 回帖 1680 粉丝 0 关注私信	邓韬 9 2011-3-24 23:38 3 楼 0 写病毒的现在不聪明咯，全不来些明码
邓韬雪币： 272 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 280 回帖 1680 粉丝 0 关注私信	邓韬 9 2011-3-24 23:39 4 楼 0 还是顶下楼主，鼓励一哈
tornodo 雪币： 435 活跃值： (110) 能力值： ( LV5，RANK：70 ) 在线值：发帖 7 回帖 233 粉丝 0 关注私信	tornodo 1 2011-3-25 04:25 5 楼 0 疯狂向楼主学习
tornodo 雪币： 435 活跃值： (110) 能力值： ( LV5，RANK：70 ) 在线值：发帖 7 回帖 233 粉丝 0 关注私信	tornodo 1 2011-3-25 04:31 6 楼 0 楼主应该给压缩包添加密码，不然怕是下载过程就过砍了。我杀毒软件都禁用了它都不让下载上传的附件： QQ截图未命名.jpg （22.11kb，540次下载）
雪之苏雪币： 230 活跃值： (105) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 118 粉丝 1 关注私信	雪之苏 2 2011-3-25 09:43 7 楼 0 哭了。。为啥是优秀。。不是精华。。想申精华的话还需要什么东西啊
xinyuweb 雪币： 161 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 12 粉丝 0 关注私信	xinyuweb 2011-3-25 13:35 8 楼 0 看不到精华之处
yangbostar 雪币： 431 活跃值： (259) 能力值： ( LV9，RANK：230 ) 在线值：发帖 20 回帖 139 粉丝 11 关注私信	yangbostar 4 2011-3-25 14:10 9 楼 0 没得精华，是因为分析的太简单了，没有细节注解。
雪之苏雪币： 230 活跃值： (105) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 118 粉丝 1 关注私信	雪之苏 2 2011-3-25 14:29 10 楼 0 哦。。不过这程序确实很简单啊。。吧大体的框架一写出来剩下的就可以自己慢慢看了- -
广海混沌雪币： 220 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 272 粉丝 1 关注私信	广海混沌 2011-3-25 18:00 11 楼 0 呵呵支持一下
lixupeng 雪币： 563 活跃值： (95) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 1635 粉丝 0 关注私信	lixupeng 2011-3-25 23:30 12 楼 0 IDA确实强大！！
linuxs 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 63 粉丝 0 关注私信	linuxs 2011-3-26 03:39 13 楼 0 精华没那么好评，你看看那些得精华的帖，对比一下你就明白。
kuang110 雪币： 89 活跃值： (185) 能力值： ( LV9，RANK：270 ) 在线值：发帖 18 回帖 339 粉丝 0 关注私信	kuang110 6 2011-3-27 13:38 14 楼 0 代码逆出来估计有精华，呵呵
善良屠夫雪币： 201 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 160 粉丝 0 关注私信	善良屠夫 2011-3-28 00:53 15 楼 0 感谢楼主先看看
charme 雪币： 112 活跃值： (48) 能力值： ( LV9，RANK：320 ) 在线值：发帖 17 回帖 143 粉丝 1 关注私信	charme 7 2011-4-2 13:43 16 楼 0 精华不精华的无所谓
莫归雪币： 278 活跃值： (218) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 64 粉丝 0 关注私信	莫归 2011-4-3 15:25 17 楼 0 或许你写的东西很好可是要是没有赏识也没有办法哈哈
ilovehuhu 雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 45 粉丝 0 关注私信	ilovehuhu 2011-4-4 14:24 18 楼 0 楼之使用的是IDA哪个版本打开的？
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

雪之苏

发帖

118

回帖

120

RANK

关注

私信

他的文章

[原创]感染形病毒分析与恢复[3]

[原创]感染型木马的分析与恢复 - “艾丽莎”

[原创]鬼影母体R3部分分析

[原创]僵尸替换执行

[原创]Backdoor.Win32.UAManager.b

关于我们

联系我们

企业服务

看雪公众号

最新回复 (17)
meakhella 雪币： 214 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 44 粉丝 0 关注私信	meakhella 2011-3-24 18:27 2 楼 0 是好东西，可是看不懂
邓韬雪币： 272 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 280 回帖 1680 粉丝 0 关注私信	邓韬 9 2011-3-24 23:38 3 楼 0 写病毒的现在不聪明咯，全不来些明码
邓韬雪币： 272 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 280 回帖 1680 粉丝 0 关注私信	邓韬 9 2011-3-24 23:39 4 楼 0 还是顶下楼主，鼓励一哈
tornodo 雪币： 435 活跃值： (110) 能力值： ( LV5，RANK：70 ) 在线值：发帖 7 回帖 233 粉丝 0 关注私信	tornodo 1 2011-3-25 04:25 5 楼 0 疯狂向楼主学习
tornodo 雪币： 435 活跃值： (110) 能力值： ( LV5，RANK：70 ) 在线值：发帖 7 回帖 233 粉丝 0 关注私信	tornodo 1 2011-3-25 04:31 6 楼 0 楼主应该给压缩包添加密码，不然怕是下载过程就过砍了。我杀毒软件都禁用了它都不让下载上传的附件： QQ截图未命名.jpg （22.11kb，540次下载）
雪之苏雪币： 230 活跃值： (105) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 118 粉丝 1 关注私信	雪之苏 2 2011-3-25 09:43 7 楼 0 哭了。。为啥是优秀。。不是精华。。想申精华的话还需要什么东西啊
xinyuweb 雪币： 161 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 12 粉丝 0 关注私信	xinyuweb 2011-3-25 13:35 8 楼 0 看不到精华之处
yangbostar 雪币： 431 活跃值： (259) 能力值： ( LV9，RANK：230 ) 在线值：发帖 20 回帖 139 粉丝 11 关注私信	yangbostar 4 2011-3-25 14:10 9 楼 0 没得精华，是因为分析的太简单了，没有细节注解。
雪之苏雪币： 230 活跃值： (105) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 118 粉丝 1 关注私信	雪之苏 2 2011-3-25 14:29 10 楼 0 哦。。不过这程序确实很简单啊。。吧大体的框架一写出来剩下的就可以自己慢慢看了- -
广海混沌雪币： 220 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 272 粉丝 1 关注私信	广海混沌 2011-3-25 18:00 11 楼 0 呵呵支持一下
lixupeng 雪币： 563 活跃值： (95) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 1635 粉丝 0 关注私信	lixupeng 2011-3-25 23:30 12 楼 0 IDA确实强大！！
linuxs 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 63 粉丝 0 关注私信	linuxs 2011-3-26 03:39 13 楼 0 精华没那么好评，你看看那些得精华的帖，对比一下你就明白。
kuang110 雪币： 89 活跃值： (185) 能力值： ( LV9，RANK：270 ) 在线值：发帖 18 回帖 339 粉丝 0 关注私信	kuang110 6 2011-3-27 13:38 14 楼 0 代码逆出来估计有精华，呵呵
善良屠夫雪币： 201 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 160 粉丝 0 关注私信	善良屠夫 2011-3-28 00:53 15 楼 0 感谢楼主先看看
charme 雪币： 112 活跃值： (48) 能力值： ( LV9，RANK：320 ) 在线值：发帖 17 回帖 143 粉丝 1 关注私信	charme 7 2011-4-2 13:43 16 楼 0 精华不精华的无所谓
莫归雪币： 278 活跃值： (218) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 64 粉丝 0 关注私信	莫归 2011-4-3 15:25 17 楼 0 或许你写的东西很好可是要是没有赏识也没有办法哈哈
ilovehuhu 雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 45 粉丝 0 关注私信	ilovehuhu 2011-4-4 14:24 18 楼 0 楼之使用的是IDA哪个版本打开的？
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复