instr.scr样本分析

instr.scr样本分析报告

文章目录

  • instr.scr样本分析报告
    • 基本信息
      • 主要执行流程
    • 关键技术概览
      • 反沙箱
    • 详细分析
      • instr.scr
      • services.exe
    • 参考链接

基本信息

主要执行流程

instr.scr加了upx壳进行自我复制改名为java.exe,并设置自启动,且获取通讯录进行邮件传发送播自身。

instr.scr同时会释放services.exe同样加了upx壳,设置自启动,且将自身作为服务端与外界进行通讯实现远控。

关键技术概览

反沙箱

  1. 程序创建java.exe,删除,再将自身拷贝为java.exe,设置java.exe为自启动。绕过沙箱检测
  2. 释放已知是系统文件名的文件services.exe

详细分析

instr.scr

1.创建启动进程

instr.scr样本分析_第1张图片

2.设置自启动

instr.scr样本分析_第2张图片

3.查找这些窗体并将其关闭

instr.scr样本分析_第3张图片

4.文件遍历

instr.scr样本分析_第4张图片

5.获取注册表中通讯录信息

instr.scr样本分析_第5张图片

6.存在发送邮件行为

instr.scr样本分析_第6张图片

还原流量发现邮件发送的附件为病毒本身

instr.scr样本分析_第7张图片

services.exe

开启端口0x40a进行监听

instr.scr样本分析_第8张图片

远控消息分发模块

instr.scr样本分析_第9张图片

参考链接

https://www.freebuf.com/articles/network/209777.html

你可能感兴趣的:(样本分析)