DYD给的。。。说是之前很流行的
本来想用OD逆的。。
但是这玩意貌似有ANTIDEBUG,调试不过才几步就出错,根本下不去
懒得去找脱壳机了,直接虚拟机测试
看不出有什么厉害的地方
无非就是释放了个riebgpn.dll(随机名)然后插在EXPLORER.EXE里面而已
不过说实话。。。这玩意是启动的倒有点怪异。。
[Messenger / Messenger][Stopped/Auto Start]
%SystemRoot%System32msgsvc.dll>
auzouif.exe。。。依旧是随机名。。。跟gnuinuz.exe压根就是同一个文件
只是我不明白。。。后面跟着%SystemRoot%System32msgsvc.dll是做什么的?
msgsvc.dll这个文件上传了下,没问题。。
最奇怪的一点。。我在PM里居然没有发现auzouif.exe的创建行为。。。
有点诡异
总的来说。。不是很厉害的毒,作者的水平也颇值得怀疑,第一次运行的时候居然还出错了。。。
害的我又要再来一遍
以下附上样本 SRENG日志跟PM的日志
PS:还有一点看不懂的,这东西调用文件之前一定要去IFEO下查看是否有此文件的键。。。。。诡异
PS:还有两点要请教大家,这玩意设置了C:WINDOWSsystem32configsoftware.LOG的文件尾,可是我居然不知道该怎么看
还有HKLMSOFTWAREPoliciesMicrosoftWindowsSystemScriptsShutdown跟HKLMSOFTWAREMicrosoftWindowsCurrentVersionGroup PolicyStateMachineScriptsShutdown Script
它设置了这两个键值,但是没做什么有意义的事,而且从PM日志里可以看到创建完后访问居然失败。。
最奇怪的是在快结束时它又把这两个注册表项给删了。。。。
版权与免责声明
1、本站所发布的文章仅供技术交流参考,本站不主张将其做为决策的依据,浏览者可自愿选择采信与否,本站不对因采信这些信息所产生的任何问题负责。
2、本站部分文章来源于网络,其版权为原权利人所有。由于来源之故,有的文章未能获得作者姓名,署“未知”或“佚名”。对于这些文章,有知悉作者姓名的请告知本站,以便及时署名。如果作者要求删除,我们将予以删除。除此之外本站不再承担其它责任。
3、本站部分文章来源于本站原创,本站拥有所有权利。
4、如对本站发布的信息有异议,请联系我们,经本站确认后,将在三个工作日内做出修改或删除处理。
请参阅权责声明!