文件结构

1. 开发工具 和 链接程序

编译器: Borland Delphi
链接程序: Turbo Linker(2.25*,Delphi)[GUI32]

2. 查壳（实际无壳）

Exeinfo：未知的壳或者保护器
DIE： 无壳

3. PE文件结构

文件中奇怪的覆盖区(在文件中，但是不符合PE文件格式。多余部分)


OD中载入：代码区是UPX0 内存区是UPX0、UPX1、.rsrc

4. 记录（部分）特殊字符串

文件分析

1. 函数主体

第一部分 注册表修改、注册表设置自启动

函数: sub 40e03c 最后返回值为（1初次、0从第二次开始）
注册表：HLM/Software/HP710C
函数: sub 40D7f0 最后返回值(0、1存在)
注册表：HCU/Software\Kazaa\LocalContent

满足上述条件后，
在注册表中插入新键值，插入新键值的过程中会读取注册表，判断注册表中是否存在Dir+数字的键值对，然后按序再次添加Dir+数字的键值对。



在注册表中注入自启动

第二部分 注册表设置自启动、配置文件的写入

函数: sub 40D850 最后返回值(0、1存在)
注册表：HKLM/Software\Morpheus\LocalContent
满足条件后
向文件C:\GnuConfig.ini中写入内容。

（该部分的进入条件是通过读取HKLM/Software\Morpheus\可能是某个环境，该部分可能存在DLL注入、网络连接行为。）

第三部分 自我复制

函数: sub 40D850


所有的备份别名（共50个别名）

最后根据部分一中的第一个函数是的返回值，判断是否复制文件到C:/Windows/dextor32.exe

加壳

该类家族的样本常加UPX壳

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课