FE3E71D7774B302D2C6C352303D2CC28
D:/sample/0228/ftp下加密样本
连接下面的ftp服务器,利用构造好的user,pwd登录,下载指定的加密文件,之后解密到rln.exe中,并启动之。
786444.el.funpic.org
elegan_786444.el.funpic.org
griptoloji.host-ed.net
ftp.tripod.com
解密C:/Program Files/Java/jre-20/bin/Help.hlp sub_401580函数
解密的Help.hlp写进C:/Documents and Settings/chenjava/Local Settings/Temp/rln.exe中 00403FCB地址处
BTW:貌似迅雷自带ftp连接工具无法识别带下划线“_”的站点。
相同功能的样本:
0c8744f4884d1f0032f710a5a0b9586c
64ae892fa15320aa4e45e897c8c50167