Staatstrojaner
国家的特洛伊木马, 安装在需要监控者的终端设备上 据说联邦刑事警察局买了 mfc42ul.dll
功能
- 截图
- 窃听 Skype, VoIP
- 与 C&C 服务器通话
分析
- 软件到 C&C 单向加密, 使用 AES-ECB
cmd 1, cmd 10, cmd 11, cmd 15: –
cmd 2: 客户端重新连接并尝试发送数据(与cmd 13类似)
cmd 3: 低质量的屏幕截图
cmd 4: 注册一个内核模式的驱动程序
cmd 5:在文件系统中安装所有针对恶意软件的文件;来源尚不清楚
cmd 6:从文件系统中删除恶意软件并重新启动
cmd 7: 卸载恶意软件
cmd 8: 所有软件组件的列表
cmd 9: 像cmd 3一样,但有三个参数
cmd 12: 设置任何值
cmd 13: 网络浏览器和Skype的屏幕截图
cmd 14: 重新加载一个程序并立即执行
我记这个干嘛