文章目录
前言
偶然找到一个白加黑的样本,尝试进行分析,看看是如何运行的。
先放个自己做的样本的流程图吧。
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-XOtR1jdT-1594811631693)(assets/ff7f1a61-8020-4794-ad49-2da67b45c094.png)]](https://img-blog.csdnimg.cn/20200715191417952.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0FfWkhBWkhBTA==,size_16,color_FFFFFF,t_70#pic_center)
文件前期整理分析
文件夹内有3个文件,前两个是隐藏文件,而且虚假后缀为 .bmp 的文件类型是快捷方式,所以判断这几个文件应该是有猫腻的。
使用 HIEW 对截图.bmp文件进行查看,发现它会调用 rundll32.exe 来加载 reg.dll。
运行截图.bmp文件,会弹出一个 DNF价格表.jpg,使得用户误以为截图.bmp文件是无毒的,然而一个后缀是.jpg,一个是.bmp(实际是.lnk,一般用户都不把文件后缀打开,所以本文暂时将.lnk文件看成是.bmp吧)
利用火绒剑监控 rundll32.exe 进程,来查看它调用的程序。发现恶意程序会调用隐藏dll及隐藏文件夹中的dll。
在进程中发现了有趣的进程出现,QQGame.exe,而我的电脑里可没装这个优秀平台的。
有个 dllhost.exe 的进程也创建了QQGame.exe。对进程所在的文件目录进行查看,发现有这些可疑文件。大小很可疑,像隐藏文件夹中的一些文件。
对所有可疑文件进行整理,整理出一个表格,更容易辨别吧。文件的签名可以使用微软的签名查看工具 sigcheck.exe 来查看。
| 文件名 | MD5 | 是否有签名 |
|---|---|---|
| HD_Comm.dll | 4E7297B83268994537D575716CC65A54 | 无 |
| 截图.bmp.lnk | 5C9422B6B2731A67D8504CD5C8F96812 | 无 |
| Au.exe | 4BED62D4A1344F3A87E8B8A629E3B26D | 有(腾讯游戏云加速下载引擎(旋风Inside) |
| Config.dat | B6BE1CFEB69FC091E67480E45E9B4B4D | 无 |
| io.dat | 798536BB39EF2066DF35885F78C59A58 | 无 |
| Reg.dll | E3DE7CB9E11F877ABDB56D832F20E76F | 有 |
| config.dat | B6BE1CFEB69FC091E67 |
最低0.47元/天 解锁文章
844
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
