B6BF.tmp.exe分析
【挂马 加密勒索】病毒木马行为分析:
先看下关键行为
先说一下插入APC(异步过程调用)
APC : asynchronous procdure call 异步过程调用
Alertable IO(告警IO)提供了更有效的异步通知形式。ReadFileEx / WriteFileEx在发出IO请求的同时,
提供一个回调函数(APC过程),当IO请求完成后,一旦线程进入可告警状态,回调函数将会执行。
以下五个函数能够使线程进入告警状态:
SleepEx
WaitForSingleObjectEx
WaitForMultipleObjectsEx
SignalObjectAndWait
MsgWaitForMultipleObjectsEx
线程进入告警状态时,内核将会检查线程的APC队列,如果队列中有APC,将会按FIFO方式依次执行。
如果队列为空,线程将会挂起等待事件对象。以后的某个时刻,一旦APC进入队列,线程将会被唤醒
执行APC,同时等待函数返回WAIT_IO_COMPLETION。
QueueUserAPC可以用来人为投递APC,只要目标线程处于告警状态时,APC就能够得到执行。
使用告警IO的主要缺点是发出IO请求的线程也必须是处理结果的线程,如果一个线程退出时还有
未完成的IO请求,那么应用程序将永远丢失IO完成通知。
PS:Each thread has its own APC queue. The queuing of an APC is a request for the thread to call the APC function. The operating system issues a software interrupt to direct the thread to call the APC function.
-----------------------
既然有APC实现模块注入,而且是svchost.exe,值得怀疑
---------------------------------------
进程行为就是svchost.ex相关
文件/注册表行为:可执行文件并且设置启动项,并且找到系统关键目录和svchost.exe
--------------------------------------------------------------------
这里是其他行为:
不解释
------------------------------------------------
类型:AdWare.W32.Gamevance
查杀报告:https://www.virustotal.com/en/file/23e551a94dbf9583b352d5005b654ddf7255064d77bba38dbeb72c015a60ebdb/analysis/1453858382/
分析报告:http://habo.qq.com/file/showdetail?pk=ADQGZV1sB2EIMFs%2B
-----------------------------End----------------------------------- 感谢楼主的分享~ 支持,看起来不错呢! 支持,看起来不错呢! 编程大牛啊 !
可以啊,小伙子有前途的额 感谢楼主的分享~ 学习学习技术,加油!
页:
[1]