首页/杀毒教程/内容

警惕最新的Smoke Loader与Andromeda变种botnet

杀毒教程2023-04-08 阅读()
:plugin_size=60500

当返回的HTTP包中的vary字段包含 0-AAAAA时代表Smoker Loader的模块,模块通过HTTP传输并且没有任何的加密和编码。

警惕最新的Smoke Loader和Andromeda变种botnet21

完整的Smoke Loader Botnet的模块如下:

警惕最新的Smoke Loader和Andromeda变种botnet22

2.4.2 Andromeda

Andromeda Botnet的模块通过RC4进行加密并带有一个伪装的PK头。

警惕最新的Smoke Loader和Andromeda变种botnet23

首次运行后发送到控制服务器的数据包如下:

警惕最新的Smoke Loader和Andromeda变种botnet24

POST的数据内容经过RC4加密并用Base64进行了编码,RC4加密的key硬编码在样本中,本次的RC4 Key为“754037e7be8f61cbb1b85ab46c7da77d”

解密后的POST数据如下:

id:%lu(北联网教程,专业提供视频软件下载)

 
第1页  第2页  第3页  第4页  第5页  第6页  第7页  第8页  第9页  第10页  第11页  第12页  第13页  第14页 
 
……
标签:警惕最新的Smoke Loader与Andromeda变种botnet
相关阅读