分析PoSeidon下载器和键盘记录器

文章预览

本篇博文分析了一个Poseidon的示例（示例查看阅读原文下载）。初始示例是一个下载器，并携带着 正在 CnCs列表中在线运行的CnCs。然而因为有一个bug，这个恶意软件不能下载第二个阶段的可执行文件（键盘记录器）。 下载器 第一个实例是键盘记录器的下载器。他复制自己到c:\windows\system32\winsrv.exe并自动安装（它也会创建WinSrvWD的mutex令牌）。然后自动删除第一个exe文件并创建两个进程： 两个进程运行相同的可执行文件。Svchost.exe运行一个函数，万一进程死掉该函数会保护WinSrv.exe。 WinSrv.exe运行下载器的主代码 下载器主要工作是尝试连接CnCs列表： 当它解析到列表的域名后，会连接列表并发送主机信息（如果没有解析到，则继续尝试下一个网址）： 这里出现了问 ………………………………