编辑: 迷音桑 | 2014-06-18 |
9 |
24 详细文件功能 XLS MD5: 97b7577d13cf5e3bf39cbe6d3f0a7732 主要功能:释放 C:\Users\Dell\AppData\Local\Temp\vba_macro.exe 文件, 并启动执行. 图3XLS 中的宏代码 vba_macro.exe MD5: abeab18ebae2c3e445699d256d5f5fb1 ? 首先获取网卡详细信息,使用函数:GetAdaptersInfo. ? 创建并写入 C:\Users\Dell\AppData\Local\FONTCACHE.DAT 文件.使用 rundll32.dll 调用该文件, 参数#1, 调用第一个导出函数 PacketAllocatePacket 执行. ? 自删除.
10 |
24 使用 ShellExecuteA 启动 cmd.exe,参数/s /c for /L %i in (1,1,100) do (del /F C:\Users\Dell\AppData\Local\Temp\VBA_MA~1.EXE &
ping localhost -n
2 &
if not exist C:\Users\Dell\AppData\Local\Temp\VBA_MA~1.EXE Exit 1) FONTCACHE.DAT MD5: cdfb4cda9144d01fb26b5449f9d189ff ? 创建线程(0x10011C91),作为 RPC 服务端程序,进行 RPC 通道监听. 通道使用命名的 Pipe( \Pipe\{AA0EED25-4167-4CBB-BDA8-9A0F5FF93EA8} ),监听过程使用三个函 数(rpcrt4.RpcServerUseProtseqEpA, rpcrt4.RpcServerRegisterIf2, rpcrt4.RpcServerListen)完成. 图4RPC 通道监听 ? 下载文件 首先对 svchost.exe 进行代码注入: 图5svchos........