instr.scr样本分析

instr.scr样本分析报告

基本信息

主要执行流程

instr.scr加了upx壳进行自我复制改名为java.exe，并设置自启动，且获取通讯录进行邮件传发送播自身。

instr.scr同时会释放services.exe同样加了upx壳，设置自启动，且将自身作为服务端与外界进行通讯实现远控。

关键技术概览

反沙箱

1. 程序创建java.exe,删除，再将自身拷贝为java.exe，设置java.exe为自启动。绕过沙箱检测
2. 释放已知是系统文件名的文件services.exe

详细分析

instr.scr

1.创建启动进程

2.设置自启动

3.查找这些窗体并将其关闭

4.文件遍历

5.获取注册表中通讯录信息

6.存在发送邮件行为

还原流量发现邮件发送的附件为病毒本身

services.exe

开启端口0x40a进行监听

远控消息分发模块

参考链接

https://www.freebuf.com/articles/network/209777.html