【文件名称】：DNF5天号解封教程.exe

【HA256】   ：3504ec84a6efb00010064e3abb1d0ae5e38883ce0abbd7c1ad7245eeb3a05bcd

【运行环境】：win7

【远控服务器】：腾讯云——132.232.36.190

【使用工具】：OD WINHEX PEID EXEINFO Malware Defender

-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

今日有网友在群里诶特我说有个远控可以过火绒 火绒查不出来 索性就下载来看看

-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

我寻思第一眼看上去没啥子区别呀

DNF5天号解封教程.exe 样本行为

键盘记录

写入文件 C:\Users\ADMINI~1\AppData\Local\Temp\\csrss.exe

通过对这个主程序的分析 主要敏感的行为还是只有这一个文件写入的动作 所以我把目光放在了csrss.exe这个被写入的文件

Csrss.exe分析

可以看到作者把他伪装成了一个360安全卫士的隔离区模块

但是具体真是这样吗？

查壳后发现是UPX的（咋干坏事都用UPX呢？）

UPX脱壳方法就不说了 上脱壳机就完事了

GOGOGO GKD!

-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Csrss.exe样本行为

获取系统信息

设置数据跟踪

创建服务并写入Bat

但是发现了一点问题 这本是一个批处理 但是怎么会有DOS头？？？？还有区段？？？？

接着看

创建服务

创建服务

然后接着程序自动退出！！！

并且删除自身

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课