今天看啥  ›  专栏  ›  看雪学苑

一种apc注入型的Gamarue病毒的变种

看雪学苑  · 公众号  · 互联网安全  · 2024-10-28 17:59

主要观点总结



关键观点总结



文章预览

一 概述 这个病毒通过可移动存储介质传播,使用了应用层APC注入和dga域名技术,整个执行过程分为4个阶段,首先从资源节中解密出一段shellcode和一个PE,执行shellcode,创建一个同名的傀儡进程,将解密出来的PE注入这个傀儡进程中启动,然后启动并通过apc注入的方式注入系统进程svchost.exe,从内存中解密了1248个dga域名尝试连接,并执行后续的恶意操作。 二 样本的基本信息 MD5: 9de070f6864bc64e0fcac70a0c881cfb SHA1: 8b5c9c3f7ca2921542252b92d749696c75f617b2 SHA256: d59d469759bce4bb41ffa92a617570770db3e9712a1da308301131f6806c8123 文件大小: 118 KB (121,344 字节) Link date: 6:43 2011/3/18 Publisher: n/a Company: Tometa Software, Inc. Description: Owo Giqer Idif Product: Bomisyh Prod version: 2, 8 File version: 2, 8, 7 MachineType: 32-bit Verified: Unsigned 第1阶段 病毒母体 从资源节中解密一段数据,数据包括一段shellc ………………………………

原文地址:访问原文地址
快照地址: 访问文章快照
总结与预览地址:访问总结与预览