1. 基本信息
样文章源自微观生活(93wg.com)微观生活-https://93wg.com/6328.html
MD5:c293c2842789a7a391c9ca82271b861e文章源自微观生活(93wg.com)微观生活-https://93wg.com/6328.html
SHA-1:f2d4afa85dd0d9ab853de79663668e03bc0cfffe文章源自微观生活(93wg.com)微观生活-https://93wg.com/6328.html
VT首次上传时间:2017-12-30 01:56:32文章源自微观生活(93wg.com)微观生活-https://93wg.com/6328.html
2. 详细分析 文章源自微观生活(93wg.com)微观生活-https://93wg.com/6328.html
2.1. 程序的流程:文章源自微观生活(93wg.com)微观生活-https://93wg.com/6328.html
(1)st22a.exe解密字符串:\"http://211.160.166.209:9998/NetSyst96.dll\"文章源自微观生活(93wg.com)微观生活-https://93wg.com/6328.html
(2)下载这个文件(加密的数据),放在C盘的某个路径下,载入文件进内存,解密运行dllmain->脱壳;文章源自微观生活(93wg.com)微观生活-https://93wg.com/6328.html
(3)调用DllFuUpgradrs 这个导出函数,对文件进行校验,肯定文件没有被修改或破坏;文章源自微观生活(93wg.com)微观生活-https://93wg.com/6328.html
(4)创立Event:Aluzem iaxnkghr (判断有无该程序运行),有的话则会执行自我删除了等清算操作;文章源自微观生活(93wg.com)微观生活-https://93wg.com/6328.html
(5)判断程序Module是否 C:\\Program Files\\Microsoft Pyanqd\\Ajlybob.exe(判断是否要被注册为服务的过程),
以上就是微观生活(93wg.com)关于“病毒分析实战—远控病毒分析”的详细内容,希望对大家有所帮助!
评论