腾讯反病毒实验室为你揭秘Xshell软件后门技术！

背景：最近，XShell远程终端工具发现被加入了恶意代码，目前官方就此事也做出了回应，要求使用者尽快下载最新版本。腾讯安全反病毒实验室就此跟进分析，对此次带有后门的XShell工具进行了分析。技术分析：概述：整个恶意过程可以通过下图来展示整个作恶过程分为3部分，第一部分是被patch的XShell启动后，执行到恶意的shellcode1。shellcode1解密后续数据后，执行该段代码shellcode2。第二部分shellcode2运行后会判断注册表项，如果不存在Data键值，则会收集用户信息，通过DNS 协议传走，并获取云端配置数据写回到注册表。第三部分，如果注册表项中有该键值，则会开始执行后续的恶意行为，通过注册表中的key来解密出shellcode3，最终会创建svchost进程，并盗取主机信息 ………………………………