昊情· 发表于 2016-2-1 20:05:09

B6BF.tmp.exe分析

【挂马 加密勒索】病毒木马
行为分析:
先看下关键行为


先说一下插入APC(异步过程调用)
APC : asynchronous procdure call 异步过程调用
    Alertable IO(告警IO)提供了更有效的异步通知形式。ReadFileEx / WriteFileEx在发出IO请求的同时,
    提供一个回调函数(APC过程),当IO请求完成后,一旦线程进入可告警状态,回调函数将会执行。
    以下五个函数能够使线程进入告警状态:
    SleepEx
    WaitForSingleObjectEx
    WaitForMultipleObjectsEx
    SignalObjectAndWait
    MsgWaitForMultipleObjectsEx
    线程进入告警状态时,内核将会检查线程的APC队列,如果队列中有APC,将会按FIFO方式依次执行。
    如果队列为空,线程将会挂起等待事件对象。以后的某个时刻,一旦APC进入队列,线程将会被唤醒
    执行APC,同时等待函数返回WAIT_IO_COMPLETION。
    QueueUserAPC可以用来人为投递APC,只要目标线程处于告警状态时,APC就能够得到执行。
    使用告警IO的主要缺点是发出IO请求的线程也必须是处理结果的线程,如果一个线程退出时还有
    未完成的IO请求,那么应用程序将永远丢失IO完成通知。
    PS:Each thread has its own APC queue. The queuing of an APC is a request for the thread to call the APC function. The operating system issues a software interrupt to direct the thread to call the APC function.

-----------------------
既然有APC实现模块注入,而且是svchost.exe,值得怀疑


---------------------------------------



进程行为就是svchost.ex相关
文件/注册表行为:可执行文件并且设置启动项,并且找到系统关键目录和svchost.exe
--------------------------------------------------------------------
这里是其他行为:

不解释
------------------------------------------------
类型:AdWare.W32.Gamevance
查杀报告:https://www.virustotal.com/en/file/23e551a94dbf9583b352d5005b654ddf7255064d77bba38dbeb72c015a60ebdb/analysis/1453858382/
分析报告:http://habo.qq.com/file/showdetail?pk=ADQGZV1sB2EIMFs%2B
-----------------------------End-----------------------------------

Sty,涛 发表于 2016-2-1 21:51:58

感谢楼主的分享~

小路 发表于 2016-2-2 14:07:39

Micah 发表于 2016-2-2 14:45:30

ruguoruo 发表于 2016-2-2 20:57:40

支持,看起来不错呢!

perble 发表于 2016-2-2 23:05:58

支持,看起来不错呢!

国光nice 发表于 2016-2-2 23:53:42

编程大牛啊 !

wuyan 发表于 2016-2-3 10:23:57

可以啊,小伙子有前途的额

小龙 发表于 2016-2-3 13:09:53

感谢楼主的分享~

若冰 发表于 2016-2-3 22:02:11

学习学习技术,加油!
页: [1]
查看完整版本: B6BF.tmp.exe分析