instr.scr样本分析
instr.scr样本分析报告
基本信息
主要执行流程
instr.scr加了upx壳进行自我复制改名为java.exe,并设置自启动,且获取通讯录进行邮件传发送播自身。
instr.scr同时会释放services.exe同样加了upx壳,设置自启动,且将自身作为服务端与外界进行通讯实现远控。
关键技术概览
反沙箱
- 程序创建java.exe,删除,再将自身拷贝为java.exe,设置java.exe为自启动。绕过沙箱检测
- 释放已知是系统文件名的文件services.exe
详细分析
instr.scr
1.创建启动进程
2.设置自启动
3.查找这些窗体并将其关闭
4.文件遍历
5.获取注册表中通讯录信息
6.存在发送邮件行为
还原流量发现邮件发送的附件为病毒本身
services.exe
开启端口0x40a进行监听
远控消息分发模块
参考链接
https://www.freebuf.com/articles/network/209777.html