-
-
worm.sytro
-
发表于: 2023-7-18 20:13
-
文件结构
1. 开发工具 和 链接程序
编译器: Borland Delphi
链接程序: Turbo Linker(2.25*,Delphi)[GUI32]
2. 查壳(实际无壳)
Exeinfo:未知的壳或者保护器
DIE: 无壳
3. PE文件结构
文件中奇怪的覆盖区(在文件中,但是不符合PE文件格式。多余部分)
OD中载入:代码区是UPX0 内存区是UPX0、UPX1、.rsrc
4. 记录(部分)特殊字符串
文件分析
1. 函数主体
第一部分 注册表修改、注册表设置自启动
函数: sub 40e03c 最后返回值为(1初次、0从第二次开始)
注册表:HLM/Software/HP710C
函数: sub 40D7f0 最后返回值(0、1存在)
注册表:HCU/Software\Kazaa\LocalContent
满足上述条件后,
在注册表中插入新键值,插入新键值的过程中会读取注册表,判断注册表中是否存在Dir+数字的键值对,然后按序再次添加Dir+数字的键值对。
在注册表中注入自启动
第二部分 注册表设置自启动、配置文件的写入
函数: sub 40D850 最后返回值(0、1存在)
注册表:HKLM/Software\Morpheus\LocalContent
满足条件后
向文件C:\GnuConfig.ini中写入内容。
(该部分的进入条件是通过读取HKLM/Software\Morpheus\可能是某个环境,该部分可能存在DLL注入、网络连接行为。)
第三部分 自我复制
函数: sub 40D850
所有的备份别名(共50个别名)
最后根据部分一中的第一个函数是的返回值,判断是否复制文件到C:/Windows/dextor32.exe
加壳
该类家族的样本常加UPX壳
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
最后于 2023-7-19 09:58
被gostrmao编辑
,原因:
|
|
|---|---|
