一个恶意样本分析

文章预览

初步研判 SHA256：b51849fb724b36a991f8adddcddb8688e6c4125d869a69b4e14739bb3358686e 微步云沙箱中已判黑 行为分析 进程行为 首先是msi本身进程树分支就很多了，还有一个额外的进程在执行后被创建，猜测为释放的文件执行。 独立进程链，猜测为上方释放 文件行为 释放了很多文件，我们主要关注可执行的文件 注册表行为 可以看到qq音乐的图标，创建了服务用于权限维持 网络行为 这是qq音乐那一条链的网络连接，msi链未检出 详细分析 主进程 msi使用Orca做分析，file字段文件很多，主要是一个用于安装Chrome的白文件，和检测网络连接的程序集，先来看看HttpdownloadUI.exe 文件本身是白文件，那应该是有黑dll了 我们根据载入看看是否有dll劫持的情况，可以看到，载入了同目录下的文件 只有一个DuiLib.dll没有数字签名，我们深入看看 我们知道他会调用cmd保存网络信息，我们 ………………………………