如果执行成功,那么将会执行sub_4010D0(CreateFile),函数创建或打开’C:\windwos\system32\clb.dll’,并返回一个可以用来访问这些对象的句柄。实际上用检测是否可以打开注册表(clb.dll(Column List Box),没有它,注册表编缉器会无法运行)接着创建文件C:\Documents and Settings\All Users\Application Data\NetWork文件夹,并在其下创建resmon.resmoncfg文件:
9
初步分析认为可能是某个漏洞的shellcode, 之后会执行sub_401600函数
a
创建虚拟地址,填充内容,主要功能为创建(V2这个VirtualAlloc较难分析,所以也并不清楚具体行为)C:\Documents and Settings\All Users\Application Data\NetWork\dat.dll C:\Documents and Settings\All Users\Application Data\NetWork\key.dat C:\Documents and Settings\All Users\Application Data\NetWork\NetKey.dll C:\Documents and Settings\Administrator\Local Settings\Temp\abcd C:\Documents and Settings\All Users\Application Data\NetWork\Mag.ini C:\Documents and Settings\Administrator\Local ettings\Temp\delself.bat 截获到程序创建的临时bat文件,其路径为:C:\Documents and Settings\Administrator\Local Settings\Temp\delself.bat:
[复制链接]
发表于 2017-5-8 20:41
