样本分析1

本文最后更新于:2 年前

前言

因为我偶然间看到 我用bandizip 解压压缩包时, 火绒报毒

image-20211013184155593

然后第二天我的 advanced archive passwod 打不开了, 还弹出了奇怪的报错,说是 64位windows 不能打开 16位程序,我直接纳闷

然后我修复了电脑,重新启动了一下,火绒直接报毒,emmm, 我一扫,才发现,tmd全盘exe32 都被干了!!! 就开始了这个样本的分析

正文

程序活动分析

使用工具:

  1. 火绒剑
  2. studype+
  3. 微步云沙箱

文件遍历

遍历并修改所有exe文件

image-20211013151612855

所有被修改的 exe 文件都增加了一个区段, 区段名称为 随机字符串

image-20211013164721463

区段内含有一个 母体exe

这里的 exe 仅仅是 32位exe

网络活动

image-20211013151724610

63.251.106.25

ddos.dnsnb8.net

ddos.dnsnb8.net:799/cj//k5.rar

ddos.dnsnb8.net:799/cj//k4.rar

k3.rar k2.rar k1.rar

image-20211013152550215

刚好对应

注册表

HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\GTplus\Time 处写下内容, 盲猜是时间

创建文件

在 Temp 文件夹内创建 名为 6AFB5029.exe 的母体

微步云线索

image-20211013153924289

下一篇更新详细功能分析部分