# C:\windows\temp\taskmgr.exe ###### tags: `MAIR` ## 基本情報 ### ハッシュ値 ``` $ pehash taskmgr.exe.malware file filepath: taskmgr.exe.malware md5: d4e2ebcf92cf1b2e759ff7ce1f5688ca sha1: 22db516eaa506f11678ef8f9e9f2b177963c62b1 sha256: 01b842cab76c78a1d9860ade258923772fe3b08ae7a428d5f54e1bf9d9c3b205 ssdeep: 768:UdosHDsoU5VVVVmHPU1ZdRl4Myn5Ex47aKLtR7:U3HIoUYHSf4Myni4JtR7 imphash: d29249fa6495df792faebb649d647218 ``` ### PEヘッダ ``` $ readpe --header optional taskmgr.exe.malware Optional/Image header Magic number: 0x10b (PE32) Linker major version: 6 Linker minor version: 0 Size of .text section: 0 Size of .data section: 0xb400 Size of .bss section: 0x1600 Entrypoint: 0x9db5 Address of .text section: 0x1000 Address of .data section: 0x1000 ImageBase: 0x400000 Alignment of sections: 0x1000 Alignment factor: 0x200 Major version of required OS: 4 Minor version of required OS: 0 Major version of image: 0 Minor version of image: 0 Major version of subsystem: 4 Minor version of subsystem: 0 Size of image: 0x10000 Size of headers: 0x400 Checksum: 0x1b988 Subsystem required: 0x2 (IMAGE_SUBSYSTEM_WINDOWS_GUI) DLL characteristics: 0 DLL characteristics names Size of stack to reserve: 0x100000 Size of stack to commit: 0x1000 Size of heap space to reserve: 0x100000 Size of heap space to commit: 0x1000 ``` ## 静的解析結果 関数名は適宜付けたものなので適当です。IDBを見てください。 ### 主要処理 #### WinMain - mutexの生成(create_mutex) - 32ビットならシステムディレクトリ、64ビットならSysWOW64のdrivers以下のsvchost.exeを引数にスレッドth_reviverを生成 #### th_reviver (sub_4069b0) "it is holy shit"のmutexを確認し、存在しなければsvchostが死んでいるとみなして再起動。 ### 補助関数 #### create_mutex (sub_406950) "tihs yloh si ti"というmutexを作る。 #### is_64bit (sub_406af0) 64ビットかの判定 #### share_mlz (sub_406a61) （たぶん）mlzとかいうファイルを共有するのに丁寧に処理してる？ - "HSKALWOEDJSLALQEOD"でファイルマッピングを作成→これはsvchostのsub_40b3d0でも使われている