查看: 53302|回复: 1919

B6BF.tmp.exe分析

[复制链接]
  • TA的每日心情
    奋斗
    2021-12-20 19:06
  • 签到天数: 554 天

    [LV.9]以坛为家II

    发表于 2016-2-1 20:05:09 | 显示全部楼层 |阅读模式
    【挂马 加密勒索】病毒木马
    行为分析:
    先看下关键行为
    125816fvi20b91hisvzp9e.png

    先说一下插入APC(异步过程调用)
    APC : asynchronous procdure call 异步过程调用
        Alertable IO(告警IO)提供了更有效的异步通知形式。ReadFileEx / WriteFileEx在发出IO请求的同时,
        提供一个回调函数(APC过程),当IO请求完成后,一旦线程进入可告警状态,回调函数将会执行
        以下五个函数能够使线程进入告警状态:
        SleepEx
        WaitForSingleObjectEx
        WaitForMultipleObjectsEx
        SignalObjectAndWait
        MsgWaitForMultipleObjectsEx
        线程进入告警状态时,内核将会检查线程的APC队列,如果队列中有APC,将会按FIFO方式依次执行。
        如果队列为空,线程将会挂起等待事件对象。以后的某个时刻,一旦APC进入队列,线程将会被唤醒
        执行APC,同时等待函数返回WAIT_IO_COMPLETION。
        QueueUserAPC可以用来人为投递APC,只要目标线程处于告警状态时,APC就能够得到执行。
        使用告警IO的主要缺点是发出IO请求的线程也必须是处
    理结果的线程,如果一个线程退出时还有
        未完成的IO请求,那么应用程序将永远丢失IO完成通知。
        PS:Each thread has its own APC queue. The queuing of an APC is a request for the thread to call the APC function. The operating system issues a software interrupt to direct the thread to call the APC function.

    -----------------------
    既然有APC实现模块注入,而且是svchost.exe,值得怀疑


    ---------------------------------------

    130331bhnokqeneloi2aae.png 130331pshb49v1om4z9ejg.png

    进程行为就是svchost.ex相关
    文件/注册表行为:可执行文件并且设置启动项,并且找到系统关键目录和svchost.exe
    --------------------------------------------------------------------
    这里是其他行为:
    130620jt1x2117go11l1lv.png
    不解释
    ------------------------------------------------
    类型:AdWare.W32.Gamevance
    查杀报告:https://www.virustotal.com/en/fi ... nalysis/1453858382/
    分析报告:http://habo.qq.com/file/showdetail?pk=ADQGZV1sB2EIMFs%2B
    -----------------------------End-----------------------------------

    评分

    参与人数 2i币 +19 收起 理由
    道生 + 2 感谢分享
    xiaoye + 17 支持原创

    查看全部评分

    回复

    使用道具 举报

    该用户从未签到

    发表于 2016-2-1 21:51:58 | 显示全部楼层
    感谢楼主的分享~
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2016-2-2 14:07:39 | 显示全部楼层
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2016-2-2 14:45:30 | 显示全部楼层
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2016-2-2 20:57:40 | 显示全部楼层
    支持,看起来不错呢!
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2016-2-2 23:05:58 | 显示全部楼层
    支持,看起来不错呢!
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2020-7-31 22:26
  • 签到天数: 88 天

    [LV.6]常住居民II

    发表于 2016-2-2 23:53:42 | 显示全部楼层
    编程大牛啊 !
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    无聊
    2017-9-11 15:40
  • 签到天数: 425 天

    [LV.9]以坛为家II

    发表于 2016-2-3 10:23:57 | 显示全部楼层
    可以啊,小伙子有前途的额
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2016-2-3 13:09:53 | 显示全部楼层
    感谢楼主的分享~
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2016-2-3 22:02:11 | 显示全部楼层
    学习学习技术,加油!
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-12-18 22:49 , Processed in 0.032079 second(s), 20 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部