一款多时钟的病毒分析

本人不才,有错误的地方望各位大大多多指点。原贴地址:https://www.52pojie.cn/thread-991921-1-1.html
原始文件名称:15AEKORT.exeMD5:17C9D08E2BFBA37EA5833A30215CA18E框架处理机构:Borland Delphi 6.0 - 7.0文件大小:2.29 MB软件是否加壳:
样本行为分析:1、样本设置多个时钟


2、获取自身的结构

3、处理虚拟字符串



4、调用kernel32拼接字符串




5、获取kernel32获取所需函数的地址

6、检索注册表中是否存在FPUMaskValue(作用:确认此环境下能支持delphi程序的运行)

7、获取自身的命令行,并检查自身是否存在更新

8、将自身的文件存放在window的临时文件夹中

9、自定义资源

10、将内存释放的文件复制到window目录下

11、解密资源段的字符串用于干扰分析

12、加载ws2_32.DLL开启通讯

13、判断系统版本信息

14、C&C提交线程注入的exe程序(这里我不太了解)

15、上传电脑所有信息

16、自定义HTTP协议

17、使用命令去关闭计算机并设置关闭其他应用时没有提示框

18、连接指定的URL地址下载文件

19、设置VBS脚本代码


20、监视用户键盘

21、写注册表实现自启

22、设置本地代{过}{滤}理和C&C地址

THE END
喜欢就支持以下吧
点赞0
分享
评论 抢沙发
  • 管埋员

    昵称

  • 取消
    昵称