一种apc注入型的Gamarue病毒的变种

主要观点总结

关键观点总结

文章预览

一 概述 这个病毒通过可移动存储介质传播，使用了应用层APC注入和dga域名技术，整个执行过程分为4个阶段，首先从资源节中解密出一段shellcode和一个PE，执行shellcode，创建一个同名的傀儡进程，将解密出来的PE注入这个傀儡进程中启动，然后启动并通过apc注入的方式注入系统进程svchost.exe，从内存中解密了1248个dga域名尝试连接，并执行后续的恶意操作。 二 样本的基本信息 MD5: 9de070f6864bc64e0fcac70a0c881cfb SHA1: 8b5c9c3f7ca2921542252b92d749696c75f617b2 SHA256: d59d469759bce4bb41ffa92a617570770db3e9712a1da308301131f6806c8123 文件大小: 118 KB (121,344 字节) Link date: 6:43 2011/3/18 Publisher: n/a Company: Tometa Software, Inc. Description: Owo Giqer Idif Product: Bomisyh Prod version: 2, 8 File version: 2, 8, 7 MachineType: 32-bit Verified: Unsigned 第1阶段 病毒母体 从资源节中解密一段数据，数据包括一段shellc ………………………………