基本信息

简单查一下Proteug10  发现是一款专业电路仿真软件

Server.exe，无数字签名，仿冒其他软件

资源未见敏感信息

对文件进行监视并运行程序，分析监视数据

分析行为监控，发现程序将自己复制到了C盘Microsoft Plarsb目录下，并且创建了服务来达到自启目的

并且程序对 121.18.238.56:8080和142.4.105.65:9090端口有网络访问

前者已关机（或防ping），后者存活

经查为美国服务器

端口扫描结果：

程序开始获取InternetOpenA函数地址，推测可能会下载网络文件

遇到一串字符串

（F6616FC73090D751AFD98A6194A14358）

像是一个32位HASH

在这里开始大量出现程序内所用到的字符串

发现一段密文

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

根据密文形式猜测，很有可能是AES/DES加密，根据12345678和12345678admins尝试解密失败

这里出现了默认分组的字样，2010字样，并且在IP138查询了外网地址，猜测可能是GH0ST变种

提权

创建了以“傻逼360”命名的事件对象，可以确定不是正常程序

确认目标路径存不存在

创建相应文件夹

将自己拷贝至目标路径内

运行拷贝过去的文件

结束

OD加载动态分析 

创建堆并申请堆内存

然后获取程序启动信息路径和程序自身的信息

之后获取系统启动信息：硬件型号，系统版本，系统环境变量

开始申请内存大小，载入数据

释放触新的文件

通过loadPE查看加载的DLL只有一个，但在内存中动态使用loadLibrary去加载其他系统DLL来躲避查杀软件检测

至此，程序一阶段执行完毕，大概行为：

第二阶段运行分析

程序启动（C:\Program Files\Microsoft Plarsb\Nlwxaoc.exe）：

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课