最近在实验室遇到一款木马,无花无壳,很简单,可以试试,很有意思。
实验环境:windows xp
实验工具:process,IDA,OLLDBUG
MD5: B656D3E3E2554878863B69EECD1B009F
SHA1: AA082E95556E934A4376742AB24F97CE638C69A1
CRC32: 77677EF9
1.打开process,运行程序1.exe,改变注册表项规则,同时它还有开机自启动的功能,并发现它创建了一个下载项DownLoad
2.发现在运行的同时创建了另外一个程序spoolve.exe,运行路径为C://windows/systems/spoolve.exe