伪装qizhi software数字签名的下载者分析报告
生活随笔
收集整理的这篇文章主要介绍了
伪装qizhi software数字签名的下载者分析报告
小编觉得挺不错的,现在分享给大家,帮大家做个参考.
文件名:360anqn.exe.重命名 壳信息:加了两重壳,外面一层nspack,里面一层未知加密壳 脱壳前文件大小:34.0 KB 脱壳后文件大小:124 KB 程序流程概述: 该样本运行后,把自身拷贝到$windir/system32/,设置成系统+隐藏属性,传入参数2,运行拷贝的进程,并创建cmd.Exe 传入解密后的参数:/c delete me 删除自身后退出进程.
系统目录下的进程判断传进来的参数,如果是2 则把自身注册为系统服务.
在服务派遣函数里 ,读取用户机器cpu,主板,内存等信息,判断系统版本,释放PCIDump.Sys驱动到drivers目录.恢复ssdt, 创建傀儡进程.
在傀儡进程里创建线程,监听***发来的指令,***指令分为以下几类:关机,重启,注销,下载指定文件存命名为:c:\2.Exe,并运行,访问指定网站.运行指定进程
解密后的链接地址为:http://dkdos.3322.org:7758 查询dkdos.3322.org站点的相关信息如下: 网站流量:IP ≈266,116 PV ≈1,969,255 IP地址:222.218.130.252 IP所在地:广西河池市 电信
系统目录下的进程判断传进来的参数,如果是2 则把自身注册为系统服务.
在服务派遣函数里 ,读取用户机器cpu,主板,内存等信息,判断系统版本,释放PCIDump.Sys驱动到drivers目录.恢复ssdt, 创建傀儡进程.
在傀儡进程里创建线程,监听***发来的指令,***指令分为以下几类:关机,重启,注销,下载指定文件存命名为:c:\2.Exe,并运行,访问指定网站.运行指定进程
解密后的链接地址为:http://dkdos.3322.org:7758 查询dkdos.3322.org站点的相关信息如下: 网站流量:IP ≈266,116 PV ≈1,969,255 IP地址:222.218.130.252 IP所在地:广西河池市 电信
运行于此服务器上的3个网站
| 1 | www.512hack.cn | 0 | 8,878,502 | 风云远程控制软件||强制视频软件||远程管理软件|出售肉鸡||DDOS***||***软 |
| 2 | www.txqq10000.com | 0 | 0 | 我们的.大家的.周年庆 - 腾讯十周年大型网友庆典活动 |
| 3 | dkdos.3322.org | 0 | 3,062 | 访问此站 |
总结
以上是生活随笔为你收集整理的伪装qizhi software数字签名的下载者分析报告的全部内容,希望文章能够帮你解决所遇到的问题。
- 上一篇: linux下ssh登录PIX防火墙
- 下一篇: CentOS 5.3 下快速安装配置 P