向注册表写入代码会被删除的驱动列表,如下图所示:
驱动列表
释放并加载ZAM杀软驱动,相关代码,如下图所示:
释放驱动并加载
之后再利用该驱动的接口来终止其他杀毒软件进程,相关代码,如下所示:
终止其他进程相关代码
通过镜像劫持功能,禁止杀毒软件进程启动,火绒剑监控到的行为,如下图所示:
火绒剑监控到的行为
等禁用杀毒软件之后,会从C&C服务器获取对应的配置文件,根据配置文件下载Loader模块,相关代码,如下所示:
获取配置信息
根据配置信息下载Loader模块CMO03.exe到C:UsersYourUserNameAppDataRoamingMicrosoftWindowsStartMenuProgramsStartup目录下并执行,火绒剑监控到的行为,如下图所示:
火绒剑监控到的行为
该模块从资源中解密,并执行shellcode1,相关代码,如下图所示:
解密执行shellcode1
在shellcode1中会从C&C服务器接收、执行shellcode2,相关代码,如下图所示:
接收、执行shellcode2
在shellcode2中会内存加载后门模块,相关代码,如下图所示:
内存加载后门模块
该后门模块具备各种恶意功能如:键盘记录、文件窃取、远程控制等恶意功能,以下对一些较为重要的恶意代码进行举例说明,远程控制相关代码,如下图所示:
远程控制
执行C&C服务器下发的程序,相关代码,如下图所示:
执行C&C服务器下发的任意程序
键盘记录,相关代码,如下图所示:
键盘记录
二、附录
C&C:
HASH: