這個不但是一個破解程式,還是一個居心不良的惡意軟體!
將壓縮檔解開我們得到了:
keygen.exe number.exe readme.bat serial.exe crack.exe
首先是crack.exe執行後會在system32下生成dll檔,在最後會重新hook
提權行為
修改winlogon記憶體
hook qomgddcr.dll
最後調用cmd.exe刪除cravk.exe
再來是serial.exe跟number.exe
執行後首先存取DNS/RPC服務
出現連網行為,CFP3這裡報了啟發
操作explorer.exe記憶體,很明顯這絕對不是一個好東西
最後的keygen.exe我省略了幾章節圖,放出重要的部分
主要就是修改了幾個重要的註冊表
還修改了iexplorer.exe的process memory
根據以上行為,我推測這些是屬於木馬還有Downloader的集合
透過Sreng或許可以完全清除
注意到以前沒注意的一點:
回覆刪除正常程式要開啟檔案,跳出資料夾視窗時,似乎是呼叫「explorer.exe檔案」而不是「操作explorer.exe記憶體」?
實測後發現其實也是「access explorer.exe in memory」。還是要從前因後果來看行為可不可疑,所以要從單一行為有無判斷程式有沒有問題還真是沒辦法。
@S. Peter
回覆刪除開啟任何程式一定是透過explorer.exe調用對象物件
但是explorer.exe絕不為"被"操作對象
操作對象跟被操作對象是有差別的
修改記憶體可以做很多事情,不僅限於破壞
但是今天這個樣本接連修改了explorer.exe及iexplorer.exe
這是"很明顯"的代碼注入!
絕對不是正常程式會有的行為
「操作對象跟被操作對象是有差別的」
回覆刪除但是CFP3的提示說明似乎看不出差異?(另外,像threatfire的監控會被判讀成「某程式 access TFservice.exe」)當然自己用的時候,因為有考量程式性質和前後執行動作,所以要區分也是辦得到。
@S. Peter
回覆刪除你的意思是CFP3的提示看不出差別嗎?
CFP3不管是圖示還是字面,應該都可以分清楚哪個是操作對象哪個是被操作對象
還是你的問題是被操作對象的修改是好或者不好?怎樣分辨嗎?
因為我對照「開啟程式,透過explorer.exe調用對象物件」的畫面,跟這篇測試中serial.exe「操作explorer.exe記憶體」的提示內容是完全相同的。這樣好像看起來explorer.exe都是被操作對象?
回覆刪除TH3比較特別,TFservice.exe都被判斷成各程式存取對象,而不是TFservice.exe去干涉對方(可能這就是TH3不會跟HIPS衝突當機的原因?)。
@S. Peter
回覆刪除應該怎麼說呢?
正常情況explorer.exe不應該也不會去存取其它對象進程的記憶體
如果只是開啟某個為之可執行程式
那提示會是XXX.exe is trying to execute xxx.exe而不會是xxx.exe is tring to access XXX.exe in memory