文章总结： 这篇文章详细分析了一个伪装成咪咕视频的银狐恶意软件样本。该样本通过读取同目录下的图片文件并在内存中执行恶意代码，创建隐藏批处理脚本实现持久化，收集系统信息并通过硬编码域名cc.kmsccadn.com进行数据传输。作者提供了完整的逆向分析过程，包括样本的行为、功能和网络通信，最后给出了相关的IOC信息。 综合评分： 88 文章分类： 恶意软件,逆向分析,漏洞分析,应急响应,威胁情报

通过查看EAX寄存器，可知将读取到的数据移到04F50000

接着利用窗口消息注入读取的数据

查看04F50000内容

动态解析LoadLibraryA、VirtualAlloc、VirtualProtec、GetProcAddress等函数

解析PE结构，并在内存中加载执行

导出到1.bin文件中查看

1001A380

遍历查找cmd.exe进程的ID值，未找到返回0

创建隐藏随机名称的批处理脚本，并写入260字节的数据到脚本中执行

位置：

C:\Users\123\AppData\Roaming\

执行结果

该脚本用于无限循环调用，避免恶意进程被关闭

返回继续查看，此处每50毫秒执行一次1001B090无限循环

1001B090

此处100258F0动态加载函数用于创建线程，执行1001A6E0

100258F0

动态加载函数，并创建线程

1001A6E0

检查配置文件是否存在，不存在则使用1001A6A0生成时间

查看config.ini内容

硬编的域名信息：cc.kmsccadn.com

解析域名并建立连接，请求成功则继续

100042A0

解析域名并建立连接

回到后查看，此处10018FF0用于收集本机信息上报

10018FF0

使用base64编码数据进行传输信息，包括：系统版本、系统信息、网络连接、磁盘信息、进程信息和运行时间等信息

执行查看

查看网络连接

过滤条件，查看域名解析地址：134.122.162.126

IOC

cc.kmsccadn.com

134.122.162.126

e23f012080db07a3e521cb9117017d925e89603e023226ca5d594d02ca06b82a

查看原文：《样本分析 | 伪咪咕视频的银狐样本分析》