作者: Yenn_
原文链接:Wei's Blog
File Name | File Size | File Type | MD5 |
---|---|---|---|
76,800 Byte | bbe4ae55f828e020c32e215f4d152cc3 |
无壳
在运行后,动态行为中未发现任何异常,可能有对抗检测的操作
拉进IDA,来到MAIN函数
先取得一次当前激活窗口名,每隔1000ms检测一次当前活动的窗口,然后比较两次是否一样,如果一样则进入死循环,一直查找窗口
然后利用memset函数,将一片内存置0,然后在置0的一块内存中得出一个DLL名,snxhk.dll
是杀毒软件Avast的一个模块
使用memset置0内存,再解密出一个url dailysync.zapto.org
解密出一个jpg路径,/fancycumti/combidation/scale.jpg
将前面得出的URL和jpg路径转换为宽字符
然后进入一个死循环,生成一个随机数,再利用生成的随机数Sleep
加载wininet.dll,wininet.dll是windows应用程序中的网络相关模块
利用Getprocaddress,获取大量函数地址
对dailysync.zapto.org/fancycumti/combidation/scale.jpg发起http请求
从远程服务器中请求一个jpg资源,然后读取jpg的数据
修改申请内存的页属性,然后创建新线程,执行读取到的内容
dailysync.zapto.org/fancycumti/combidation/scale.jpg已经挂了,目前为止还没找到可下载的样本,后面的暂时分析不了。
本文由 Seebug Paper 发布,如需转载请注明来源。本文地址:https://paper.seebug.org/1517/