文件名
:360anqn.exe
.
重命名
壳信息
:
加了两重壳
,
外面一层
nspack,
里面一层未知加密壳
脱壳前文件大小
:34.0 KB
脱壳后文件大小
:124 KB
程序流程概述:
该样本运行后,把自身拷贝到$windir/system32/,设置成系统+隐藏属性,传入参数2,运行拷贝的进程,并创建cmd.Exe 传入解密后的参数:/c delete me 删除自身后退出进程.
系统目录下的进程判断传进来的参数,如果是2 则把自身注册为系统服务.
在服务派遣函数里 ,读取用户机器cpu,主板,内存等信息,判断系统版本,释放PCIDump.Sys驱动到drivers目录.恢复ssdt, 创建傀儡进程.
在傀儡进程里创建线程,监听***发来的指令,***指令分为以下几类:关机,重启,注销,下载指定文件存命名为:c:\2.Exe,并运行,访问指定网站.运行指定进程
解密后的链接地址为:http://dkdos.3322.org:7758
查询
dkdos.3322.org站点的相关信息如下:
网站流量:IP
≈266,116 PV
≈1,969,255
IP地址:222.218.130.252
IP所在地:广西河池市 电信
运行于此服务器上的3个网站
| 1 | www.512hack.cn | 0 | 8,878,502 | 风云远程控制软件||强制视频软件||远程管理软件|出售肉鸡||DDOS***||***软 |
| 2 | www.txqq10000.com | 0 | 0 | 我们的.大家的.周年庆 - 腾讯十周年大型网友庆典活动 |
| 3 | dkdos.3322.org | 0 | 3,062 | 访问此站 |
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
