instr.scr样本分析
instr.scr样本分析报告
文章目录
- instr.scr样本分析报告
- 基本信息
- 主要执行流程
- 关键技术概览
- 反沙箱
- 详细分析
- instr.scr
- services.exe
- 参考链接
基本信息
主要执行流程
instr.scr加了upx壳进行自我复制改名为java.exe,并设置自启动,且获取通讯录进行邮件传发送播自身。
instr.scr同时会释放services.exe同样加了upx壳,设置自启动,且将自身作为服务端与外界进行通讯实现远控。
关键技术概览
反沙箱
- 程序创建java.exe,删除,再将自身拷贝为java.exe,设置java.exe为自启动。绕过沙箱检测
- 释放已知是系统文件名的文件services.exe
详细分析
instr.scr
1.创建启动进程
2.设置自启动
3.查找这些窗体并将其关闭
4.文件遍历
5.获取注册表中通讯录信息
6.存在发送邮件行为
还原流量发现邮件发送的附件为病毒本身
services.exe
开启端口0x40a进行监听
远控消息分发模块
参考链接
https://www.freebuf.com/articles/network/209777.html
本文来自互联网用户投稿,文章观点仅代表作者本人,不代表本站立场,不承担相关法律责任。如若转载,请注明出处。 如若内容造成侵权/违法违规/事实不符,请点击【内容举报】进行投诉反馈!