0.如何查殺及樣本評點請看文末

+——————————————————–+
+ 獲取日期: 2015-07-13 +
+ 樣本來源: 精銳 +
+——————————————————–+

1.特徵

+——————————————————–+
+ 樣本編號: 04 +
+ 樣本名稱: 無名稱資訊 +
+ 樣本大小: 675840 位元組 +
+ 樣本MD5 : 1576C10BD588D5EC4F22D43ED83FD2D0 +
+—SHA256:6CDDDBDE8B72694B9B75F70391B80D09EF94182B98EC2B0F502CAAEC1DD14499+
+——————————————————–+

2.外部特徵

//Logo,屬性,證書,etc.
圖示:無
連結時間:2012.04.15/18:06:52
原始檔名:MSRSAAP.EXE
產品名稱:Remote Service Application
公司:Microsoft Corp.
版權:Copyright (C) 1999
證書:無
編譯工具等資訊:
Borland Delphi 2006/2007 - www.borland.com [ * Internet Behavior on ->> wsock32.dll

3.行為

0 . 執行環境
xp

1 . 程序

建立新程序:
無.
建立新執行緒:
匯入了GdiPlus.dll

2 . 檔案行為

釋放如下檔案:

C:\Documents and Setting\Administrator\Application Data\dclogs\2015-07-13-2.dc
內容摘要:
”’
:: SysTracer - C:\Documents and Settings\Administrator\桌面\可識別1234\可識別\04.vir.exe (12:24:17)
[DOWN][UP][DOWN][UP][DOWN][DOWN][DOWN][DOWN][DOWN][DOWN][UP][UP][UP][UP][UP][UP][DOWN][DOWN][DOWN][DOWN][DOWN][DOWN][DOWN][DOWN][DOWN][UP][UP][UP][UP][UP][UP][UP]

:: PowerTool x86 V4.6 (12:27:10)

:: 04 (12:27:22)

:: PowerTool x86 V4.6 (12:29:39)

:: Clipboard Change : size = 0 Bytes (12:29:39)

:: SysTracer - C:\Documents and Settings\Administrator\桌面\可識別1234\可識別\04.vir.exe (12:29:54)

:: Program Manager (12:32:42)
”’

刪除如下檔案:

無

感染如下檔案:

無

3 . 網路行為

3.1 解析域名

lole.no-ip.biz

3.2 資料互動

無

4 . 行為

4.1 系統服務

無

4.2 登錄檔

.1建立
HKCU\Software\DC3_FEXEC

.2設定
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders

項/鍵名: AppData
資料: C:\Documents and Settings\Administrator\Application Data

.3設定
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C
鍵值:BaseClass
資料:Drive

.4設定
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\D
鍵值:BaseClass
資料:Drive

4.3Hook
1全域性鉤子
以自身模組為資訊設定全域性鉤子.

5 . 自我保護

無.(有提權操作)

6 . 總結

該樣本是惡意軟體.

分析感言

該樣本屬性資訊偽裝微軟程式.使用全域性鉤子竊取使用者鍵入,屬於典型鍵盤記錄程式.通過將使用者輸入內容記錄後傳送到一個國外免費靜態轉動態中轉網站(類似於花生殼)來達到竊密的目的.值得注意的是此樣本並沒有設定啟動項的步驟.由於沒有加殼又沒有任何干擾.行為較為簡單.認為這可能是某個新手的試水之作.

查殺密招

直接用工作管理員結束掉此程式,並刪除以上被新增被修改的登錄檔項即可.