收集终端环境信息
软件信息收集
该模块会通过遍历HKLM和HKCU主键下的SOFTWAREMicrosoftWindowsCurrentVersionUninstall子键,得到用户安装的软件列表。然后与规则文件中的软件名称进行匹配,得到用户安装的浏览器(为收集浏览器历史信息做准备),影音播放器,游戏盒子,游戏微端,直播软件和在黑名单中的软件情况。相关代码,如下图所示:
三、同源性分析
我们在用户现场提取到的kreap5141.dll随机名动态库会根据配置文件下发的恶意模块到本地执行,在下发的多个恶意模块中,我们找到了一个和KwExternal.exe功能高度相似的恶意模块1002.dll。1002.dll数字签名信息,如下图所示:
此文摘自https://www.huorong.cn/safe/1578637832418.html
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!