存活的样本分析
双击后自动消失并且隐藏自身
释放在C:WINDOWS\SYSTEM32\RQVRME.EXE C2出现了,还是打码,万一我被盯上就麻烦了。。。。
它的C2域名
获取执行的时间
获取本机的IP地址
这里不太懂,我通过解码的IP与C2不符,是不是想混淆IP,有大佬告诉我吗???
获取WIN的版本
这里有可能是反OD调试,进入一个CALL的时候死循环了,以前见过这种。od的异常处理有一个bug,就是他会自动的将异常关闭。但是这个bug就被一些人利用来反od了。
不断报告当前的信息给C2
应该是urlmon.dll,也就是微软那个浏览器internet explorer,应该是通过这个下载样本
这里不知道是不是想混蒙过去,不过大概猜得出是什么。Current control services
修改注册列表,形成自启动,这里应该是读取它释放的数据
这里应该是C2与样本进行通信
删除自身
目前C2还是活的,估计已经控制了不少肉鸡。样本是Nitol家族的,很久没发帖了,初出茅庐,如果有什么错误请各位大佬纠正一下。 学习一下,谢谢楼主 看文件名就知道是Star Rat那类的开源远控
一般杀软都能拦下来 Hou 发表于 2019-5-14 16:54
看文件名就知道是Star Rat那类的开源远控
一般杀软都能拦下来
我也想知道,360不拦截?
感觉现在个人电脑如果装个360.
在不是ghost版系统,不关闭杀软或加白名单的情况下,中毒几乎成为不可能了。。。
各种自启动方式都被监视的死死的。 是捕获到的样本,这种360随便杀,主要是学习一下分析。第一次分析样本 老哥 全程静态的么 这有些强势啊 还是动态图懒得上了 哈哈 IOC可以发下的吧 学习了,感谢楼主分析 本帖最后由 皮卡炫 于 2020-1-17 15:21 编辑
没搞过动态图:'(weeqw:'(weeqw 下次把分析报告整理好看些,然后再深入分析下,期待你下次分享。 各种自启动方式都被监视的死死的。
页:
[1]