Rootkit.Fileless.MTGen 逆向工程

逆向工程 恶意软件
2021-07-09 22:49:05

有没有人试过查看这个恶意软件的内部内容?它最终出现在我们的一台工作机器上。在设置机器以进行重新映像之前,我将文件复制到拇指驱动器。尽管 AV 软件一直说它已被删除,但它不断返回。

我注意到 3 个出站连接。两个是亚马逊 AWS 服务器,一个是基于 IP 的巴拿马机器。

所有包含的 .bat 文件都与下面相同。我已经检查了不同的加密类型,但没有找到文件中的命令。所有可执行文件都有 3 个字符的扩展名。在十六进制编辑器中查看它们,但无法提取任何有用的数据。

这更多是出于好奇。 

    echo KWvBTeEhoOBvYGBOV0L9i07izYZQZ6eUNvN
echo UHCxEg2gVic
echo FgXcH8LAyBRqqlUil8L
echo EqXkXZQa0
echo 3BPrg
echo ptGFX9BkqRJM50l0ZhOy4FHpc2TYBtayl70
echo FfStAj3XYV5w9u
start "Lnvqgn8kWPwvFipqD8tLpq" "%LOCALAPPDATA%\Gm Ugc\iqgux rez.dcah"
echo f199qjLWdJ6URiTJLa3AC0
echo bF6MorMQoqttAWAMHa
echo Kpme1Fkmm
echo kLShOlr2t
echo sTNvUyM5FjoN89YzL3CFCdi5d6bknL
echo K6n2kL9BxaAY9NlDD8tFg
1个回答

这些echo 陈述似乎只是随机噪音,可能会降低防病毒检测率。实际上在做某事的唯一一行是这样的:

start "Lnvqgn8kWPwvFipqD8tLpq" "%LOCALAPPDATA%\Gm Ugc\iqgux rez.dcah"

它使用位于 中的文件启动一个新进程 %LOCALAPPDATA%\Gm Ugc\iqgux rez.dcah,因此它可能是一个包含恶意软件实际功能的可执行文件。您将需要对其进行分析以确定它的作用(例如,使用反汇编程序或反编译程序,具体取决于文件格式)。

其它你可能感兴趣的问题
上一篇如何在没有可执行文件的情况下在远程目标上的 GDB 中设置断点? 下一篇我应该如何在 IDA 中命名静态函数?