Eraseme后门分析
天融信阿尔法实验室 陈峰峰
0×00 概述
这是@neteagle捕获的一个样本,好奇索要过来看看,简单分析了一下;这是一个带感染功能的后门程序。由于其传播名称eraseme_%d%d%d%d%d.exe,所以我们称之为Eraseme后门。这是我第一份分析报告,感谢hj大侠和段哥的指导。分析中如有不对的地方也望各位指出。
样本主要包含三个程序:
PE程序(PE0):外壳程序,主要负责释放PE1
PE程序(PE1):核心程序,负责感染、控制,使用UPX减小体积,释放SYS1
驱动程序(SYS1):修改系统TCPIP并发最大连接数