Lab06-03
样本信息
与Lab06-01、Lab06-02类似,多出一个函数
字符串信息
导入表信息
样本分析
- 样本没有太多操作
- 检查网络连接状态
- 如果存在网络,访问http://www.practicalmalwareanalysis.com 获取第5个字符
- 根据返回的第5个字符做不同的操作:
'a'. 创建目录:c:\Temp
'b'. 将自己拷贝为c:\Temp\cc.exe
'c'. 删除c:\Temp\cc.exe
'd'. 将c:Temp\cc.exe写入到启动项中
'e'. 休眠100秒
其它,打印错误信息
查杀思路
- 检查注册表启动项,删除可疑启动项
