0.如何查杀及样本评点请看文末
+——————————————————–+
+ 获取日期: 2015-07-13 +
+ 样本来源: 精锐 +
+——————————————————–+
1.特征
+——————————————————–+
+ 样本编号: 07 +
+ 样本名称: 无名称信息 +
+ 样本大小: 80384 字节 +
+ 样本MD5 : 7BF49CD89EAEF7FBAD1151D2B1BD9126+
+—SHA256: D3EB9AA5753BE2925E4CEA053E7D944D8CB2C3C758B0943756DA577493EF0D67+
+——————————————————–+
2.外部特征
//Logo,属性,证书,etc.
图标:无
链接时间:2015.07.11/01:51:26
源文件名:gg.exe
产品名称:gg.exe
Assembly Version:0.0.0.0
证书:无
编译工具等信息:
Babel v7.0.0.NET Obfuscator
Borland Delphi 2006/2007 - www.borland.com [ * Internet Behavior on ->> wsock32.dll
3.行为
0 . 运行环境
xp
1 . 进程
创建新进程:
C:\Documents and Settings\Administrator\Local Settings\Temp\server.exe(自身的拷贝)
创建新线程:
加载了mscoree.dll
加载了mscorwks.dll
创建新进程
C:\WINDOWS\system32\netsh.exe(微软网络配置服务)
2 . 文件行为
释放如下文件:
C:\Documents and Settings\Administrator\Local Settings\Temp\server.exe(自身的拷贝)
C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\b89abee708c08a62a4f92ccac672ebca.exe(自身的拷贝)
删除如下文件:
无
感染如下文件:
无
3 . 网络行为
3.1 解析域名
samo22.no-ip.org
3.2 数据交互
无
4 . 行为
4.1 系统服务
无
4.2 注册表
.1
键值
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
值
AppData
数据
C:\Documents and Settings\Administrator\Application Data
.2
键值
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
值
Cache
数据
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
.3
键值
HKU\S-1-5-21-2025429265-1644491937-1177238915-500
值: di
数据:!
.4
键值
HKCU\Environment
值:SEE_MASK_NOZONECHECKS
数据:1
.5
键值
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
值:b89abee708c08a62a4f92ccac672ebca
数据:”C:\Documents and Settings\Administrator\Local Settings\Temp\server.exe”..
.6
键值
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
值:b89abee708c08a62a4f92ccac672ebca
数据:”C:\Documents and Settings\Administrator\Local Settings\Temp\server.exe”..
.7
键值
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
值:Startup
数据:C:\Documents and Settings\Administrator\「开始」菜单\程序\启动
.8创建
键值
HKCU\Software\b89abee708c08a62a4f92ccac672ebca
值:N/A
数据:N/A
.8
键值
HKCU\Software\b89abee708c08a62a4f92ccac672ebca
值:[kl]
数据:N/A
样本配置netsh导致对注册表的改变:
4.3内存操作
netsh firewall add allowedprogram “C:\Documents and Settings\Administrator\Local Settings\Temp\server.exe” “server.exe” ENABLE
5 . 自我保护
无.
6 . 总结
该样本是恶意软件.
分析感言
该样本被加壳.且依靠.net运行库运行.对自身隐蔽改名,运行无窗口无提示.添加启动项.将自身添加到防火墙白名单,再通过查询互联网DNS转IP服务期望与远程主机连接.
查杀密招
直接用任务管理器结束掉此程序的主程序.找到对应启动项删除即可.