-
-
[原创]伪装成谷歌安装包的远控木马粗略分析
-
发表于: 2025-11-2 22:23
-
病毒类型: 后门
文件类型:32位
MD5:87134B25D9EC6BB3430D89ACE378FE78
SHA1:5ca48eb4dfbd6f50bde448b33c70dd24bced8586
32位windows可执行程序,为Gentee解压包
程序释放文件:Blie.dll、OneDriveSetup.exe、Qoawouable.exe、tp.png,其中Blie.dll为黑文件,tp.png为加密后的shellcode。
程序读取tp.png文件到内存中
解密tp.png文件,并且设置内存为执行权限
执行解密后的shellcode,将后续需要指向的PE文件解析到内存中,并执行
提取出来的程序中,会检测是否存在杀软
并且解密agg.txt文件后,创建服务启动goldendays.dll
解密kill.txt,得到关闭杀软的dll文件
文件goldendays.dll中会检测服务是否运行
读取trustinstaller.bin并且进行注入
trustinstaller.bin和Enpug.bin文件开始会有一段shellcode功能为用来获取各自自身文件中的PE文件并加载到内存中
在trustinstaller.bin中,会将Enpug.bin文件注入到系统进程进行中
[培训]Windows内核深度攻防:从Hook技术到Rootkit实战!
|
|
|---|---|
