文章目录
前言
偶然找到一个白加黑的样本,尝试进行分析,看看是如何运行的。
先放个自己做的样本的流程图吧。
文件前期整理分析
文件夹内有3个文件,前两个是隐藏文件,而且虚假后缀为 .bmp 的文件类型是快捷方式,所以判断这几个文件应该是有猫腻的。
使用 HIEW 对截图.bmp文件进行查看,发现它会调用 rundll32.exe 来加载 reg.dll。
运行截图.bmp文件,会弹出一个 DNF价格表.jpg,使得用户误以为截图.bmp文件是无毒的,然而一个后缀是.jpg,一个是.bmp(实际是.lnk,一般用户都不把文件后缀打开,所以本文暂时将.lnk文件看成是.bmp吧)
利用火绒剑监控 rundll32.exe 进程,来查看它调用的程序。发现恶意程序会调用隐藏dll及隐藏文件夹中的dll。
在进程中发现了有趣的进程出现,QQGame.exe,而我的电脑里可没装这个优秀平台的。
有个 dllhost.exe 的进程也创建了QQGame.exe。对进程所在的文件目录进行查看,发现有这些可疑文件。大小很可疑,像隐藏文件夹中的一些文件。
对所有可疑文件进行整理,整理出一个表格,更容易辨别吧。文件的签名可以使用微软的签名查看工具 sigcheck.exe 来查看。
文件名 | MD5 | 是否有签名 |
---|---|---|
HD_Comm.dll | 4E7297B83268994537D575716CC65A54 | 无 |
截图.bmp.lnk | 5C9422B6B2731A67D8504CD5C8F96812 | 无 |
Au.exe | 4BED62D4A1344F3A87E8B8A629E3B26D | 有(腾讯游戏云加速下载引擎(旋风Inside) |
Config.dat | B6BE1CFEB69FC091E67480E45E9B4B4D | 无 |
io.dat | 798536BB39EF2066DF35885F78C59A58 | 无 |
Reg.dll | E3DE7CB9E11F877ABDB56D832F20E76F | 有 |
config.dat | B6BE1CFEB69FC091E67 |