本文最后更新于：3 年前

前言

因为我偶然间看到我用bandizip 解压压缩包时，火绒报毒

然后第二天我的 advanced archive passwod 打不开了，还弹出了奇怪的报错，说是 64位windows 不能打开 16位程序，我直接纳闷

然后我修复了电脑，重新启动了一下，火绒直接报毒，emmm, 我一扫，才发现，tmd全盘exe32 都被干了！！！就开始了这个样本的分析

正文

程序活动分析

使用工具:

遍历并修改所有exe文件

所有被修改的 exe 文件都增加了一个区段，区段名称为随机字符串

区段内含有一个母体exe

这里的 exe 仅仅是 32位exe

63.251.106.25

ddos.dnsnb8.net

ddos.dnsnb8.net:799/cj//k5.rar

ddos.dnsnb8.net:799/cj//k4.rar

k3.rar k2.rar k1.rar

刚好对应

HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\GTplus\Time 处写下内容，盲猜是时间

在 Temp 文件夹内创建名为 6AFB5029.exe 的母体

下一篇更新详细功能分析部分

逆向工程 study 样本分析

本博客所有文章除特别声明外，均采用 CC BY-SA 4.0 协议，转载请注明出处！