前言

做蓝队的兄弟应该都对MOZI僵尸网络有所了解，经常能碰到这个僵尸网络的各种爆破。然而能搜索到的信息无一不是LINUX版本的MOZI。正好碰到了一个奇葩的windows版本的MOZI，在此记录一下给各位需要溯源的兄弟提供点信息。（这玩意有点久了一直懒得发）

开端

又是搬砖的一天，一大早客户就来了个消息，说机器被打了，让看看。各种分析日志过程就不说了，最后在FTP日志里面发现了问题，上图：

成功弱口令的攻击与是在下图所示，还直接传了个奇怪的东西：

传的东西名称不太一样但实际是一个样本，这里就以Video.scr为例。

先上样本信息：

最后于 2022-4-2 15:04 被团圆饭怎么吃编辑，原因：补一个提取好的MOZI

上传的附件：

收藏・8

免费・4

支持

最新回复 (2)
tank小王子雪币： 14402 活跃值： (10028) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 153 粉丝 1 关注私信	tank小王子 2 楼感谢分享，当初分析arm版本的真费事。 2022-4-2 14:43 0
miaostart 雪币： 5023 活跃值： (2709) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 41 粉丝 1 关注私信	miaostart 3 楼感谢分享！ 2022-4-3 14:24 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

团圆饭怎么吃

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
tank小王子雪币： 14402 活跃值： (10028) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 153 粉丝 1 关注私信	tank小王子 2 楼感谢分享，当初分析arm版本的真费事。 2022-4-2 14:43 0
miaostart 雪币： 5023 活跃值： (2709) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 41 粉丝 1 关注私信	miaostart 3 楼感谢分享！ 2022-4-3 14:24 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复