-
-
[原创]银狐木马-搜狗拼音安装包木马分析
-
发表于: 2025-8-10 14:50
-
MD5:00d8e25ebb1ee5e1dcd131b74d77e290
文件类型:msi安装文件
文件大小:159.12MB
文件名:sogou_pinyin_guanwang.msi
使用lessmsi打开安装包,安装包包含文件如下
点击安装包会执行qmbrowser.exe 和sougo_pinyin_guanwang.exe
sougo_pinyin_guanwang.exe是搜狗拼音正常的安装文件。
qmbrowser.exe 是具有合法签名的程序,用于加载恶意的qbcore.dll。
qbcore 是一个shellcode加载器,读取同目录下的1.txt文件执行。
1.txt部分文件内容
1.txt是一个PE加载器
经分析,该加载器为github上的开源项目205K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6E0L8$3&6G2P5r3N6S2M7#2)9J5c8Y4y4d9c8p5V1`.
[培训]Windows内核深度攻防:从Hook技术到Rootkit实战!
