CFBIQM - 2016-3-31 11:53:00
样本来自某论坛求助帖样本为一个压缩包,内有三个文件
第一个qxxxx:
PEID查壳,UPX,看区段,UPX0 UPX1 RMNET RSRC
附件: 您所在的用户组无法下载或查看附件
典型的加UPX的ramnit感染性,放到virusbook扫了下
确定无疑,这个就不行为了。
附件: 您所在的用户组无法下载或查看附件
第二个server:
详细信息写的居然是360安全卫士 安全防护中心模块
但是没有数字签名,一看就是假的
附件: 您所在的用户组无法下载或查看附件
查壳,无壳VC6,但是入口对不上,不管咯,下面跑起来
附件: 您所在的用户组无法下载或查看附件
连接一个IP,修改了注册表,来实现自启动
很明显的远控特征
附件: 您所在的用户组无法下载或查看附件
附件: 您所在的用户组无法下载或查看附件
第三个zykis:
PEID查壳,不是有效PE文件
附件: 您所在的用户组无法下载或查看附件
用hexworkshop编辑一下,应该是个下载器
附件: 您所在的用户组无法下载或查看附件
太明显了,但是这个exe我没有获取到
大体就酱,如有不对之处,请赐教
顺道证明一下帖子原创
附件: 您所在的用户组无法下载或查看附件
用户系统信息:Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/48.0.2564.116 Safari/537.36 TheWorld 7
附件: 密码:52pojie.zip
第一个qxxxx:
PEID查壳,UPX,看区段,UPX0 UPX1 RMNET RSRC
附件: 您所在的用户组无法下载或查看附件典型的加UPX的ramnit感染性,放到virusbook扫了下
确定无疑,这个就不行为了。
附件: 您所在的用户组无法下载或查看附件第二个server:
详细信息写的居然是360安全卫士 安全防护中心模块
但是没有数字签名,一看就是假的
附件: 您所在的用户组无法下载或查看附件查壳,无壳VC6,但是入口对不上,不管咯,下面跑起来
附件: 您所在的用户组无法下载或查看附件连接一个IP,修改了注册表,来实现自启动
很明显的远控特征
附件: 您所在的用户组无法下载或查看附件 附件: 您所在的用户组无法下载或查看附件第三个zykis:
PEID查壳,不是有效PE文件
附件: 您所在的用户组无法下载或查看附件用hexworkshop编辑一下,应该是个下载器
附件: 您所在的用户组无法下载或查看附件太明显了,但是这个exe我没有获取到
大体就酱,如有不对之处,请赐教
顺道证明一下帖子原创
附件: 您所在的用户组无法下载或查看附件用户系统信息:Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/48.0.2564.116 Safari/537.36 TheWorld 7
附件: 密码:52pojie.zip