目录
样本信息
字符串信息
导入表信息
样本分析
样本运行时检查运行条件:
-
命令行参数个数是否大于1
-
如果参数等于1,检查注册表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \XPS\Configuration
-
如果以上检查不通过,删除自身
-
如果命令行参数个数是1,且查询注册表通过会执行一些网络操作:上传、下载、CMD等
-
如果命令行参数个数大于1,则检查提供的命令行是否为"abcd",如果不是则删除自己
-
如果参数是-re Lab03-04 abcd会清理恶意行为,删除系统目录下恶意程序,删除服务,清理注册表。
-
如果命令行参数个数为7,且命令行分别为:-c [字符串] [URL] [端口] 60 abcd
-
如果命令行参数为:-cc abcd则会打印如下内容
查杀思路
- 关闭并删除服务:Lab03-04 Manager Service
- 删除文件:C:\WINDOWS\system32\Lab03-04.exe
- 环境变量中删除%SYSTEMROOT%\system32\Lab03-04.exe
- 可以调用它自己的清理函数:-re Lab03-04 abcd
总结
- 此样本功能多样,需要不同的命令行参数进行操作,如果没有命令行参数,那么就会删除自己。
技巧
- 字符串拆分:strtok