-
-
[原创]一个释放木马样本的外壳程序分析
-
发表于: 2018-8-10 17:16
-
文件名:download.exe
查了下壳,发现加了UPX的壳:
脱壳后显示是一个c++程序:
目前已知的行为:
一、会在Windows目录下创建一个名为ouytresx.exe的文件,此文件内容内嵌在当前程序偏移地址为+0x88A61的地方。
二、会访问指定网站获取当前IP地址所对应的城市。
三、会在指定网站下载一个名为appveif.exe的程序,并存储在temp目录中。
四、会在temp目录下创建一个名为TemporaryFile的文件,对比发现此文件就是download.exe的复制。
五、Download.exe运行后会自行删除。
(较详细内容见下方代码中的注释)
主要流程:
此函数于main函数中调用
thisThread+0x50处调用下面的函数:
0x408010函数内部注册了一个类并使用它创建隐藏窗体
跟入4010CB:
结论:此程序实现的是一个外壳加下载器,后续具体的功能是在释放的ouytrex.exe和下载的appveif.exe中去做,另两个程序的分析下次再发。
密码:9kir
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
最后于 2018-8-10 17:19
被鸡蛋面编辑
,原因:
|
|
|---|---|
