恶意软件免杀与技术(2022.04.25)

BlackGuard加密货币钱包窃取

规避以下dll的加载
SbieDll.dll 沙盒沙盒
SxIn.dll 360全方位安全
Sf2.dll Avast 杀毒软件
snxhk.dll Avast 杀毒软件
cmdvrt32.dll COMODO 网络安全

使用Obfuscar进行.NET程序混淆

BlackGuard 还将查询“IP-Whois”以确定受害者的大致位置。在 BlackGuard 的一些样本中,此功能用于防止恶意软件在特定的东欧国家执行。
通过Chrome插件ID找到加密钱包的插件路径,然后偷取加密wallet密码。

攻击者使用 PsExec、FileZilla、Process Explorer 或 GMER 等免费软件工具来执行命令,将数据从一台机器移动到另一台机器,并杀死或破坏阻碍他们工作的进程。
攻击者使用 GMER、IObit Unlocker 和 Process Hacker 等工具尝试禁用端点保护

Prynt Stealer

二进制使用 rot13 密码进行编码。ROT13(旋转 13 位)用当前字母的13个位置后的一个字母替换一个字母。rot13算法应用于此示例中的 Base64 编码二进制文件,最终使用AppDomain.CurrentDomain.Load()方法直接在内存中执行它。
它从“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion"的DigitalProductId中窃取 Windows 产品密钥
为了识别公共 IP,它向 hxxp[:]//icanhazip[.]com 发送请求
为了识别地理位置,它向 hxxps[:]//api.mylnikov.org/geolocation/wif

你可能感兴趣的:(Windows病毒分析,c#)