3601劫持病毒分析
2022-01-04 10:53:08 0 举报登录查看完整内容
——对于一个勒索病毒的底层行为分析
作者其他创作
大纲/内容
是否存在exe
链接控制器sbcq.f3322.org
给icykmk.exe添加服务自启
V=6?
V==0x14
同目录下创建lpk.dll 或者替换掉原始导出函数
否
创建线程三
循环等待解收指令
初始化Socket
寻找下个
遍历扫描文件
功能同二
同0x12
V==0x2
更新病毒下载并运行,删除自身
V==0x10
存在.rar或.zip
V==0x4
加载hra33.dll
开始
链接控制器www.520520520.org
链接控制器www.520123.xyz
往压缩包里添加lpk.dll
创建系统服务及注册表
是否在系统目录运行
发送GET请求数据包
是
V==0x3
获取电脑信息给服务器
结束3061.exe并删除
初始化socket伪造浏览器信息头进行TCP连接
生成随机文件并释放到C\\Windows
创建线程二
V==0x6
创建线程一
打开IE根据命令弹窗
下载恶意代码到临时文件
创建线程四
通过弱口令感染局域网内的共享文件
寻找下一个
收藏
0 条评论
回复 删除
下一页
