文件名:360anqn.exe.重命名 殼信息:加了兩重殼,外面一層nspack,里面一層未知加密殼 脫殼前文件大小:34.0 KB 脫殼后文件大小:124 KB ? 程序流程概述: 該樣本運(yùn)行后，把自身拷貝到$windir/system32/，設(shè)置成系統(tǒng)+隱藏屬性,傳入?yún)?shù)2,運(yùn)行拷貝的進(jìn)程,并創(chuàng)建cmd.Exe 傳入解密后的參數(shù):/c delete me 刪除自身后退出進(jìn)程.
系統(tǒng)目錄下的進(jìn)程判斷傳進(jìn)來(lái)的參數(shù),如果是2 則把自身注冊(cè)為系統(tǒng)服務(wù).
在服務(wù)派遣函數(shù)里 ,讀取用戶機(jī)器cpu,主板,內(nèi)存等信息,判斷系統(tǒng)版本,釋放PCIDump.Sys驅(qū)動(dòng)到drivers目錄.恢復(fù)ssdt, 創(chuàng)建傀儡進(jìn)程.
在傀儡進(jìn)程里創(chuàng)建線程,監(jiān)聽(tīng)***發(fā)來(lái)的指令,***指令分為以下幾類:關(guān)機(jī),重啟,注銷,下載指定文件存命名為:c:\2.Exe,并運(yùn)行,訪問(wèn)指定網(wǎng)站.運(yùn)行指定進(jìn)程
解密后的鏈接地址為:http://dkdos.3322.org:7758 查詢dkdos.3322.org站點(diǎn)的相關(guān)信息如下： 網(wǎng)站流量:IP ≈266,116 ? PV ≈1,969,255 IP地址:222.218.130.252 IP所在地:廣西河池市 電信

運(yùn)行于此服務(wù)器上的3個(gè)網(wǎng)站

1	www.512hack.cn	0	8,878,502	風(fēng)云遠(yuǎn)程控制軟件||強(qiáng)制視頻軟件||遠(yuǎn)程管理軟件|出售肉雞||DDOS***||***軟
2	www.txqq10000.com	0	0	我們的.大家的.周年慶 - 騰訊十周年大型網(wǎng)友慶典活動(dòng)
3	dkdos.3322.org	0	3,062	訪問(wèn)此站

總結(jié)

以上是生活随笔為你收集整理的伪装qizhi software数字签名的下载者分析报告的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。