手工查找木马(二)

经过使用ida pro及ollydbg对病毒进行逆向工程，发现其行为与之前使用procmon所录制的log相符，服务启动后会进行de-obsfucation，以还原关键的字串，连向某动态解析之位置*.3322.org

连线建立完成后，根据所接收到的信息，此一后门程式可以下载其它木马，以系统帐号执行任何指令，回传系统详细信息等等。

令人担心的是，此木马在运行中躲过了kaspersky的检查，在服务被停止后，kaspersky才得以发现并删除此一木马。程式虽然只有40k大小，但是功能已经相当完整，如果接下来有时间，还是要好好研究一下才是。

另一方面，卡巴在找到此木马后的第一反应是删除此檔案，不禁另人怀疑木马作者和防毒软体业者间微妙的共生关系。檔案中含有木马作者留下的线索，可以用来查缉其来源，但是防毒软体业者的生意是否也因者木马的盛行而兴隆?因此防毒软体业者当然不希望木马作者被抓到。甚至在某些案例中，某些防毒软体业者本身也被控蓄意散播病毒。