# YqejbPXw.exe ###### tags: `MAIR` パスや出本はわからず。 ## 基本情報 ### ハッシュ値 ``` $ pehash YqejbPXw.exe.malware file filepath: YqejbPXw.exe.malware md5: 6983f7001de10f4d19fc2d794c3eb534 sha1: 23873bf2670cf64c2440058130548d4e4da412dd sha256: 3c2fe308c0a563e06263bbacf793bbe9b2259d795fcc36b953793a7e499e7f71 ssdeep: 768:8HaGmJqj/DkKqn5FKwQE8IWlReWfDWf9zTjaCuGiyqWE87CYsSHtRpj26:sfqqj/DMFv8I8ReUWflaCoa7CYsIRJ imphash: 4749670ac3d28d6761142b0dcb4f5076 ``` ## 静的解析結果 関数名は適宜付けたものなので適当です。IDBを見てください。 ### 主要処理 こっちにもget_cpu_bitとかsvchost, taskmgrと同じような関数が登録されてる。 #### WinMain - RemComSvcを登録 #### remote_control (sub_4017a0) - `\\.\pipe\RemCom_communication`という名前でパイプを作成 - RemComThreadを作成 #### RemComThread (sub_401903)