作者: Yenn_
原文鏈接:

基本信息

File Name File Size File Type MD5
76,800 Byte bbe4ae55f828e020c32e215f4d152cc3

查殼

img

無殼

詳細分析

在運行后,動態行為中未發現任何異常,可能有對抗檢測的操作

img

拉進IDA,來到MAIN函數

img

img

對抗檢測

先取得一次當前激活窗口名,每隔1000ms檢測一次當前活動的窗口,然后比較兩次是否一樣,如果一樣則進入死循環,一直查找窗口

img

然后利用memset函數,將一片內存置0,然后在置0的一塊內存中得出一個DLL名,snxhk.dll

是殺毒軟件Avast的一個模塊

img

img

解密字符串

使用memset置0內存,再解密出一個url dailysync.zapto.org

img

img

解密出一個jpg路徑,/fancycumti/combidation/scale.jpg

img

img

將前面得出的URL和jpg路徑轉換為寬字符

img

然后進入一個死循環,生成一個隨機數,再利用生成的隨機數Sleep

img

請求資源

加載wininet.dll,wininet.dll是windows應用程序中的網絡相關模塊

img

利用Getprocaddress,獲取大量函數地址

img

對dailysync.zapto.org/fancycumti/combidation/scale.jpg發起http請求

img

加載資源

從遠程服務器中請求一個jpg資源,然后讀取jpg的數據

img

修改申請內存的頁屬性,然后創建新線程,執行讀取到的內容

img

dailysync.zapto.org/fancycumti/combidation/scale.jpg已經掛了,目前為止還沒找到可下載的樣本,后面的暫時分析不了。

Paper 本文由 Seebug Paper 發布,如需轉載請注明來源。本文地址:http://www.bjnorthway.com/1517/