首页 科技正文

商标国际注册:Pekraut:新的RAT木马来袭,功效厚实

约稿员 科技 2020-05-07 19 0

最近新出现了一个功效厚实的RAT名为Pekraut,经由剖析后推测可能来源于德国。

在一样平常通过可疑路径检索新兴恶意软件时,一个在%APPDATA%/Microsoft中伪装 svchost.exe 的样本引起了我们的注重。该样本是ConfuserEx加壳的 .NET 程序。

名为netRat.exe的该文件已上传到 VirusTotal。文件版本信息中的InternalName与OriginalFilename相同,版本信息还包罗 2019 年的版权声明。

如下所示是 ConfuserEx 加壳的 Pekrau 样本的 PortexAnalyzer 的效果:

商标国际注册:Pekraut:新的RAT木马来袭,功效厚实 第1张

如下所示,是脱壳的 Pekrau 样本的 PortexAnalyzer 的效果:

商标国际注册:Pekraut:新的RAT木马来袭,功效厚实 第2张

通过相似样本检索,我们发现了第二个样本。该样本在前一个样本一天后被上传到 VirusTotal。该样本虽然没有加壳,然则使用了 Dotfuscator 加了混淆。第一个样本脱壳 ConfuserEx 后会获得险些与第二个文件相同的文件。

混淆模糊了 .NET 符号的原始名称,好比类、变量、函数。我们没有发现任何未混淆的 Pekraut 样本,因此我们手动命名这些符号。去混淆后的样本也适用于本文的截图,请注重,这些符号名称不是源代码的一部分,不能以此作为检测署名。

Pekraut RAT 的下令列表

Pekraut 的客户端可接受 27 条下令,help下令可以获得下令的德文形貌,然则下令自己照样英文的。某些下令没有提供解释性形貌信息,例如dbg下令。如下所示,卖力治理所有下令的类在下令列表中有七个占位符工具。可能是在打印所有下令的辅助形貌时放置换行符的新鲜方式。

商标国际注册:Pekraut:新的RAT木马来袭,功效厚实 第3张

综上所述,除调试下令外,整个 RAT 的功效已经十分厚实了。恶意软件的作者对代码云云自信,以至于都忽略了阻碍剖析的措施。下表总结了对下令实现的细节剖析:

揭晓谈论
请自觉遵守互联网相关的政策法规,严禁公布色情、暴力、反动的言论。 评价: 商标国际注册:Pekraut:新的RAT木马来袭,功效厚实 第4张中立 好评 差评 脸色:
用户名: 验证码: 匿名? 揭晓谈论
最新谈论 进入详细谈论页>>

相关阅读

关于本站
最近揭晓
  • NEWS | 助力智慧农业——新大陆与中
  • 疫情下的春天,手艺与生态的练兵
  • 3500+篇5G提案、8款5G手机…vivo亮眼成
  • 骁龙820A助力小鹏P7打造新一代智能
  • 再见了,快递员!北京打响第一枪
  • 新基建的内在、意义和隐忧 ,基于
  • 陶瓷3D打印市场到2030年有望到达3
  • 肩负vivo 5G希望!vivo 5G青年团队努力
  • 工信部批复组建国家高性能医疗器
  • 4月VR大数据:SteamVR月活至少181万人
文章信息
  • 首页 > 科技 >
  • 时间:2020-05-07 08:06
  • 阅读:次
  • 上一篇:天下电信日前夕,着名通讯专家对四大通讯运营商发展趋势预判
  • 下一篇:德国电信这一决议,美国可又要失望了!

Copyright © 2002-2019 腾讯首页 版权所有 

下令 形貌
spy_cb 读取剪贴板数据发送回 C&C 服务器,支持存储在剪贴板内的图像
spy_keylogger 纪录键盘按键。支持以下特殊键 VK_OEM_NEC_EQUAL、VK_LShift、VK_RShift、VK_Scroll、VK_LMenu、VK_RMenu、VK_RControl、VK_LControl
spy_mic 使用装备的麦克风最先\住手录制,将数据发送回 C&C 服务器
spy_scr 显示有关显示器的信息或为特定的屏幕截图,将数据发送回 C&C 服务器
spy_cam 使用装备的摄像头拍摄单张照片或将视频撒播输到 C&C 服务器
reg_list 列出指定注册表项的所有子项和值
,

sunbet

www.0-577.com欢迎您的加入。

版权声明

本文仅代表作者观点,
不代表本站浙江生活网的立场。
本文系作者授权发表,未经许可,不得转载。

评论

好文推荐

站点信息

  • 文章总数:2224
  • 页面总数:0
  • 分类总数:16
  • 标签总数:768
  • 评论总数:130
  • 浏览总数:343391