-
-
[原创]一个窃取器病毒分析
-
发表于: 2025-2-19 22:29
-
最近在卡饭上看样本,记录一下报告吧~
样本出处在这里!(我是超链接)
SHA256:5b0030c0b3a033494e97361b9d6e736a2acb6a8c3a3ae85b2c334811659e104a
类型:exe
文件分析
文件属于32位的exe,.NET编写,有做一些混淆
行为分析
进程分析
没有识别到子线程
文件行为
创建了一个rdp.exe 以及rdp.lnk ,link指向创建的rdp.exe
注册表行为
开机自启行为
网络行为
未检出外连行为
详细分析
我们使用dnspy进入入口点,可以看到文件名混淆很严重,但是逻辑还是正常的,所以直接看就行
我们可以看到前面每行的逻辑都差不多,我们点进去看一下可以发现这里使用RijndaelManaged做了一个对称解密,怎么做的我们就不需要了解了,毕竟恶意样本最后总是需要明文的,我们后面动调就能知道。
之后的一些操作都需要前面的字符串了,我们直接开始动调吧!
被骗了。。居然是64位的
可以看到会解密处一些明文出来,后面大概率用的上,这里只是生成,就随便看看
后面会生成互斥体
上面这段生成了%APPDATA%下的rdp.exe,后面
这里向rdp里面写入内容,进入参数可以看到获取的是自身文件名
所以这个rdp.exe就是自身
后面把这个appdata中的文件路径载入开机自启的注册表中,做了一个维权行为
又在自启动文件夹放入了链接文件,双重保险
之后又设置了hook,第一个参数为13,监控键盘输入
之后创建线程调用了GetLastInputInfo获取最后一次输入的时间,可能涉及反沙箱吧
外连在最后一个线程中
case中的第一个参数好像在释放资源,不用看了
我们直接看下一个关键函数,可以看到这里调用了一个长得像域名的字符串
然后我们可以看到解析了ip地址,查了一下,确认为恶意
后面就是连接操作了,不再继续分析下去了
结果
这是一个键盘行为窃取器
IOC
147.185.221.26
medical-fan.gl.at.ply.gg
|
|
|---|---|
