三、相关文件
DesktopLayer.exe.v : 样本;
upDesktopLayer.exe.v : 脱壳后的样本;
DesktopLayer.exe.new.v:由样本释放到 C 盘新建文件夹的文件;
dmlconf.dat:样本在 iexplorer.exe 目录下创建的文件,用于写入系统时间信息
和网络连通时间差;
Hook ZwWriteVirtualMemroy Data.txt:API ZwWriteVirtualMemroy 被 Hook 前后
的函数地址机器码,以及 Hook 过程中的 15 字节堆空间数据。
感染 EXE 和 DLL 文件过程中的文件: (Exe_Dll 文件夹)
Exe_Sample.exe.v:一个满足感染条件且未被感染过的 exe 文件;
Exe_Sample_InFected.exe.v:被感染后的 exe 文件;
Exe_Sample_InFectedSrv.exe.v:被感染文件在运行时释放出来的文件;
Data2Exe_1.bin、Data2Exe_1.bin:感染时向 EXE 和 DLL 中写入的两段数据;
Data2ExeAsm.txt:被感染文件入口点代码行为分析文件;
感染 HTML 和 HTM 文件过程中的文件: (Html_Htm 文件夹)
Html_Sample.html.v:一个满足感染条件且未被感染过的 HTML 文件;
Html_Sample_InFected.html.v:被感染后的 HTML 文件;
Data2Html.bin:感染时向 HTML 文件中追加的数据;
感染可移动磁盘文件过程中的文件: (RemovableDisk 文件夹)
RECYCLER_1.rar:含有自动运行文件和写入的 exe 文件(RECYCLER 的二级文
件名和 EXE 文件名均具有随机性)。
以上文件中相关文件的 MD5 和 SHA1 值如下:
样本 DesktopLayer.exe.v
MD5: FF5E1F27193CE51EEC318714EF038BEF
SHA1: B4FA74A6F4DAB3A7BA702B6C8C129F889DB32CA6
释放的文件 DesktopLayer.exe.new.v、Exe_Sample_InFectedSrv.exe.v 和感染
可移动磁盘时写入的 exe 文件其实是同一个文件:
MD5: 240B869098AF035A4FD7968308C86EDD
SHA1: 0798717EEE86F30EBF8BD11F3C8F4C2B473BC724
向 HTML 和 HTM 文件中写入的数据 Data2Html.bin:
MD5: 36748DD7B6C9EFBF0A6371C307DC2D2C
SHA1: 1E3934254D07F67D54DFD5D69F86DDAC200BD39F
评论0