样本显著特征:打开www.openclose.ir网页
详细分析:
一、入口点处2次亦或解密
二、在401000--41f000处释放代码,完善VB导入表,进入msvbvm60.ThunRTMain函数。其中发现一些字符串(VB导入函数没有贴):
三、在ThunRTMain函数中调用第二步中释放的代码
四、注册表隐藏文件后缀名、超级隐藏;拷贝样本到系统目录,开机启动;浏览器打开www.openclose.ir网站
隐藏文件后缀名、超级隐藏:
拷贝样本到系统目录,开机启动:
打开www.openclose.ir网站:
五、VB如何调用Windows API