双击后自动消失并且隐藏自身。
释放在C:WINDOWS\SYSTEM32\RQVRME.EXE C2出现了,还是打码,万一我被盯上就麻烦了。。。。
进行静态分析
获取到它的C2域名
获取执行的时间
获取本机的IP地址
这里不太懂,解出来的ip不是C2的,是不是想混淆IP,有大佬告诉我吗???
获取WIN的版本
这里有可能是反OD调试,进入一个CALL的时候死循环了,以前见过这种。od的异常处理有一个bug,就是他会自动的将异常关闭。但是这个bug就被一些人利用来反od了。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
wx_咸鱼_785523 样本是它挂在网站上,被同事发现。样本MD5 :95625e5c76e4e7999b08de5fa25792d4