首页
社区
课程
招聘
worm.sytro
发表于: 2023-7-18 20:13 3902

worm.sytro

2023-7-18 20:13
3902

文件结构

1. 开发工具 和 链接程序

编译器: Borland Delphi
链接程序: Turbo Linker(2.25*,Delphi)[GUI32]
图片描述

2. 查壳(实际无壳)

Exeinfo:未知的壳或者保护器
DIE: 无壳
图片描述

3. PE文件结构

图片描述
图片描述
图片描述
文件中奇怪的覆盖区(在文件中,但是不符合PE文件格式。多余部分)
图片描述
图片描述
OD中载入:代码区是UPX0 内存区是UPX0、UPX1、.rsrc

4. 记录(部分)特殊字符串

图片描述
图片描述
图片描述

文件分析

1. 函数主体

图片描述
图片描述

第一部分 注册表修改、注册表设置自启动

函数: sub 40e03c 最后返回值为(1初次、0从第二次开始)
注册表:HLM/Software/HP710C
图片描述函数: sub 40D7f0 最后返回值(0、1存在)
注册表:HCU/Software\Kazaa\LocalContent
图片描述
满足上述条件后,
在注册表中插入新键值,插入新键值的过程中会读取注册表,判断注册表中是否存在Dir+数字的键值对,然后按序再次添加Dir+数字的键值对。
图片描述
图片描述
图片描述
在注册表中注入自启动
图片描述
图片描述
图片描述

第二部分 注册表设置自启动、配置文件的写入

函数: sub 40D850 最后返回值(0、1存在)
注册表:HKLM/Software\Morpheus\LocalContent
满足条件后
向文件C:\GnuConfig.ini中写入内容。
图片描述

(该部分的进入条件是通过读取HKLM/Software\Morpheus\可能是某个环境,该部分可能存在DLL注入、网络连接行为。)

第三部分 自我复制

函数: sub 40D850
图片描述
图片描述
所有的备份别名(共50个别名)
图片描述
最后根据部分一中的第一个函数是的返回值,判断是否复制文件到C:/Windows/dextor32.exe

加壳

该类家族的样本常加UPX壳
图片描述
图片描述


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

最后于 2023-7-19 09:58 被gostrmao编辑 ,原因:
收藏
免费 1
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//