KPOT窃密木马新变种分析
概述:KPOT是窃密木马,主要用来盗取系统的各种信息,包括软件,硬件,系统等信息。
本次分析的KPOT的加解密秘钥为“RAfkLTapFMM12wme”。
MD5:a49f082618faf36f0ecd02699708d38e
1.4导入表信息
导入函数就4个,一看就知道使用shellcode手法。
使用shellcode手法获取kernel32.dll模块基地址,进程的默认堆地址,以及进程主线程的LastError值保存地址。
在sub_13058FB函数中,有一个长长的函数获取列表,具体逻辑自己分析,函数名字符串是加过密的,获取这些函数主要有两个目的,一是获取本机的各种信息,二是把获取的信息上传到恶意服务器。
下面是获取的函数列表:
加密函数为sub_1303dd7,函数有4个参数。分别为需要加密的字符串指针,字符串长度,加密秘钥,加密秘钥字符串长度。系统数据被在原处(参数1地址)加密保存。
加密逻辑反汇编分析:
加密逻辑od逆向调试分析:
这是加密前的状态。
最重要的一步,使用http协议通过80端口,将本机的系统信息上传到服务器中。恶意服务器现在还能用哦!反正我是虚拟机,不在乎了。
后面使用send函数再次发送了一次,我就不分析了。可能使用为了确保发送成功。