样本来源 http://www.aljyyosh.com                 样本类型 BDS.Bifrose.aec
分析时间 2016-9-20 运行环境                          控制端：Windows7 x64  木马端：Windows XP

分析目的    找出木马与控制端通信的特征码

分析过程    (1) 配置木马端

   图1-配置木马

1. 木马端默认配置使用81端口，也可自行更改为其他端口。
2. 可同时设置多个不同的服务端地址，也可以使用Scoks4代理的方式上线。
3. 其他设置，配置过程中还可配置木马安装目录、注册表键值、离线键盘记录等功能。
4. 点击Build完成创建客户端。
(2) 安装木马端
1. 在主机1（IP：10.0.3.160）上打开控制端，安装生成的木马样本（server.exe）到主机2（IP：10.0.3.153）.
2. 在主机1上开启Wireshark抓取主机1与主机2之间的通信数据.
3. 在主机2上双击安装木马样本。

 (3) 开始分析
1. 进程监视，样本安装后通过进程管理器可以看到，系统会生成进程名为server.exe的新进程，同时会进行镜像加载、查询本机注册表等一系列操作,上述操作完毕后，木马端会自动关闭进程。如下图：

图2-进程监视

2. 木马端安装后会在配置木马端时选择的安装目录（默认目录为C:\Program Files）下创建Bifrost文件夹并生成一个新的server.exe文件。如图：

图3-默认安装目录

3. 通过对主机1和主机2之间通信的数据包分析可发现，木马端在主机2上安装后，打开一个随机端口主动连接控制端81端口。如下图：

 图4-连接端口

4. 在控制端打开文件管理功能，尝试打开文件夹、删除文件等其他操作后查看抓取的数据包。如图：

图5-文件管理功能

经过多次抓包对比分析后，确认样本该控制端的通信特征为：00 00 00 2a 3d ba 1a.如下图：

图6-通信特征

5. 关闭控制端断开与木马端的连接，继续抓包，统计后发现若控制端未打开，木马上线后连接请求频率约12秒一次。如下图：

图7-木马端连接请求

6. 配置木马端时改变连接密码再重复以上操作，抓包分析发现，改变连接密码后通信特征码不变。若控制端连接密码错误，则木马端随机使用一端口号连接控制端81端口，大约每隔11秒，端口号+2并再次尝试连接控制端。如下图：

图8-连接密码错误时的连接请求

数据记录和计算   无

结 论

1. 样本数据特征: 0000002a3dba1a
2. 默认配置下被控端主动连接控制端81端口（端口可更改）
3. 木马上线连接请求频率约12秒一次。
4. 木马端安装后会在安装目录（默认目录为C:\Program Files）下创建Bifrost文件夹并生成一个新的server.exe文件