[网络病毒] 恶意样本713527.exe详细分析与预防措施

基本信息

​        报告更新日期：2024/5/24
​        样本发现日期：2024/5/13
​        样本类型：下载器+加载器+远控
​        样本文件大小：33,214,784
​        样本文件MD5 校验值：de38470e9ccb7302dac8f84b5a941b77
​        样本文件SHA1 校验值：981731432296b773b3936a274aa8bdbcaf141298
​        可能受到威胁的系统：Windows 7/10

简介

［713527.exe］是一个网络下载器，通过下载远控程序，对被攻击的机器进行长期的控制

被感染系统及网络症状

感染后，界面操作会出现轻微卡顿。在样本执行时，会产生HTTP的下载数据，且攻击成功后将长期发送加密后的tcp数据。

文件系统变化

将在C:\Users\Administrator\AppData\Local\Microsoft\Windows\INetCache\ 路径下创建或修改文件Content.IE5、IE

将在用户的Application Data目录下创建MyData目录

网络症状

与IP123.99.200.160有密切的联系。

功能介绍

该恶意样本执行后，会远程下载一个加载器；加载器再通过创建一个托管运行平台，执行最终释放的远控程序。具体分析如下：

71357.exe

样本摘要 SHA1:981731432296b773b3936a274aa8bdbcaf141298

该可疑样本1 被运行后，会进行如下操作：

1. 使用延时功能延迟动态分析的进度
   

2. 在IP123.99.200.160  的5172 端口下对名为1600.bin的可疑文件2进行下载操作：
   

3. 将下载的文件直接放入内存，可疑样本1 进行第一次解密后调用1600.bin文件首字节，执行被下载的可疑文件1600.bin
   

4. 解密完成后，调用首字节执行可疑文件2 ​1600.bin​。
   

1600.bin

样本摘要 SHA1:a7ad868f0d37b1ba