暂无图片
暂无图片
暂无图片
暂无图片
暂无图片
首页 / 钓鱼邮件样本分析

钓鱼邮件样本分析

启明星辰金睛安全研究团队 2020-06-30
907
钓鱼邮件伪装成销售订单,包含一个压缩包,解压后是一个屏保程序。

基本信息

样本名称
Property
样本⼤⼩
232448字节
样本类型
屏幕保护程序
恶意家族
蠕⾍远控
SHA
233fb9f8a290fc18eb576a6f83fe6a0189afbd09
MD5
54FD0BCEFE52380D2F088EC918B3D6AB


主要执⾏流程

instr.scr加了upx壳进⾏⾃我复制改名为java.exe,并设置⾃启动,且获取通讯录进⾏邮件传发送播⾃⾝。可以防止沙箱检测重启后的行为。

instr.scr同时会释放services.exe同样加了upx壳,设置⾃启动,且将⾃⾝作为服务端与外界进⾏通讯实现远控。


详细分析
instr.scr
创建启动进程。

设置⾃启动。

查找这些窗体并将其关闭。

⽂件遍历。

获取注册表中通讯录信息。

存在发送邮件⾏为。

还原流量发现邮件发送的附件为病毒本⾝。


services.exe

开启端⼝进⾏监听。

远控消息分发模块。


IP连接

 IP

地址

4.240.75.225

美国 亚利桑那州 凤凰城

15.54.159.149

美国 乔治亚州 亚特兰⼤

15.244.200.106

美国 德克萨斯州

4.240.75.254

美国 亚利桑那州 凤凰城

数据库
文章转载自启明星辰金睛安全研究团队,如果涉嫌侵权,请发送邮件至:contact@modb.pro进行举报,并提供相关证据,一经查实,墨天轮将立刻删除相关内容。

评论