某Keylogger分析
名称:某Keylogger分析类型:WinEXE
MD5 校验值:56263331B8A63334C467B43538E5873C
壳信息:无壳
受威胁的系统:Windows平台
概述:
1.该病毒会释放文件并运行
2.创建互斥量
3.添加自启动项
4.创建全局钩子
5.记录键盘操作
分析:
对母体的分析
1.查找电脑中是否存在debugsrv.exe,如果存在,通过OpenProcess,TerminateProcess关闭进程。
2.创建文件夹C:\WINDOWS\r_GUID,设置为隐藏属性。
3.连接字符串,创建文件debugsrv.exe到C:\WINDOWS\r_GUID。
4.运行C:\WINDOWS\r_GUID\debugsrv.exe
5.连接字符串,将自身所在路径与 \install.ceo连接,call 401090为获取自身路径并且连接\install.ceo
6.创建进程xxxxxxxx\install.ceo,关闭句柄,56263331B8A63334C467B43538E5873C进程结束
debugsrv.exe分析7.创建事件对象MSCDBGSV1,创建互斥量。
8.设置注册表SOFTWARE\Microsoft\Windows\CurrentVersion\Run添加自启动
9.开启线程,创建全局钩子,循环获取消息
10.线程记录键盘操作数据,将数据保存在进程当前目录debugsrv.exe_bug.log文件中
11.debugsrv.exe_bug.log存放的键盘记录操作以+0Ah的方式加密
12.存放的数据如以下
13.进行解密为-0Ah 解密后为
14.解决方案 1.安装官方补丁2.删除C:\WINDOWS 目录下r_GUID 文件夹并清除注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run内名称为MSWDebugServer 的项
羡慕,我怎么时候才能这么详细的分析 膜拜牛人 分析看不懂,来下样本来了。感谢楼主 学习下。{:1_912:} 亲爱的分析得不错,加精鼓励 很强大,呵呵,果然很强。。。 谢谢分享 强大,学习了 彩虹云点播去广告 日常更新贴(12.6正式版)迅雷破解版 直冲6级会员Office 2013官方中文破解版(office2013激活工具)小猫咪爱看网络电视V3.5最新版【你懂得呀!】安卓版我叫mt online ,免战挂机加速辅助破解版发布!【仙剑奇侠传五前传虚拟机Win7镜像+VM汉化】【一键安装版】刷贡献1.3.2 可以刷任何依靠IP判断的地址Csdn Brush Credits(CSDN刷积分工具)遗落战境/遗忘星球 Oblivion.2013.720p.CAM.READNFO.XViD2012[动画片]熊出没104集高清打包下载Video Enhancer 1.9.8.2 破解补丁易我数据恢复破解版(绿色/免注册)V2.1.0
页:
[1]