一款多时钟的病毒分析
本人不才,有错误的地方望各位大大多多指点。原贴地址:https://www.52pojie.cn/thread-991921-1-1.html原始文件名称:15AEKORT.exe
MD5值:17C9D08E2BFBA37EA5833A30215CA18E
框架处理机构:Borland Delphi 6.0 - 7.0
文件大小:2.29 MB
软件是否加壳:否
样本行为分析:1、样本设置多个时钟
2、获取自身的结构
3、处理虚拟字符串
4、调用kernel32拼接字符串
5、获取kernel32获取所需函数的地址
6、检索注册表中是否存在FPUMaskValue值(作用:确认此环境下能支持delphi程序的运行)
7、获取自身的命令行,并检查自身是否存在更新
8、将自身的文件存放在window的临时文件夹中
9、自定义资源
10、将内存释放的文件复制到window目录下
11、解密资源段的字符串用于干扰分析
12、加载ws2_32.DLL开启通讯
13、判断系统版本信息
14、向C&C提交线程注入的exe程序(这里我不太了解)
15、上传电脑所有信息
16、自定义HTTP协议
17、使用命令去关闭计算机并设置关闭其他应用时没有提示框
18、连接指定的URL地址下载文件
19、设置VBS脚本代码
20、监视用户键盘
21、写注册表实现自启
22、设置本地代{过}{滤}理和C&C地址
谢谢分享,学习了 谢谢分享 已getthank 谢谢分享 ;www楼主,排版还是要好好排下哈 谢谢分享 多谢楼主,开学{:1_887:} 过程很详细,就像在大学做实验作业:lol 谢谢分享,学习了
页:
[1]
2