通过 SystemTimeAsFileTime 函数取得感染时间
写入到文件”dmlconf.dat”
0x4.线程四(发送窃取数据线程)
首先会取计算机一些相关信息
接着会解密出一个名为”fget-career.com”的域名地址,且端口为443端口 ,为了躲避安全软件而伪装成HTTPS协议
接着进行数据组合
20406F46000121F800000A28000000050000000186 20406F46分区序列号 000121F8分区序列号 00000A28系统build版本 00000005主版本号 00000001次版本号 86国家代码
接着进行MD5加密字符串,发送给C&C服务器 fget-career.com 443端口
数据包首次使用固定ff 00 ?? 00 00 00 进行对C&C服务器的握手连接
在进行把20406F46000121F800000A28000000050000000186 和组合的MD5字符串发送给C&C服务器
0x5.线程五(感染全盘文件 .exe .dll .htm .html)
我们可以看到,此感染文件线程每隔30秒感染一次
首先排除感染目录
接下来就是全盘搜索文件进行感染,我们可以看到此感染母体搜索“ *.* ”全部文件。
相关推荐:
loading