最近在卡饭上看样本，记录一下报告吧~
样本出处在这里！（我是超链接）

SHA256：5b0030c0b3a033494e97361b9d6e736a2acb6a8c3a3ae85b2c334811659e104a

类型：exe

文件分析

文件属于32位的exe，.NET编写，有做一些混淆

行为分析

进程分析

没有识别到子线程

文件行为

创建了一个rdp.exe 以及rdp.lnk ，link指向创建的rdp.exe

注册表行为

开机自启行为

网络行为

未检出外连行为

详细分析

我们使用dnspy进入入口点，可以看到文件名混淆很严重，但是逻辑还是正常的，所以直接看就行

我们可以看到前面每行的逻辑都差不多，我们点进去看一下可以发现这里使用RijndaelManaged做了一个对称解密，怎么做的我们就不需要了解了，毕竟恶意样本最后总是需要明文的，我们后面动调就能知道。

之后的一些操作都需要前面的字符串了，我们直接开始动调吧！

被骗了。。居然是64位的

可以看到会解密处一些明文出来，后面大概率用的上，这里只是生成，就随便看看

后面会生成互斥体

上面这段生成了%APPDATA%下的rdp.exe，后面

这里向rdp里面写入内容，进入参数可以看到获取的是自身文件名

所以这个rdp.exe就是自身

后面把这个appdata中的文件路径载入开机自启的注册表中，做了一个维权行为

又在自启动文件夹放入了链接文件，双重保险

之后又设置了hook，第一个参数为13，监控键盘输入

之后创建线程调用了GetLastInputInfo获取最后一次输入的时间，可能涉及反沙箱吧

外连在最后一个线程中

case中的第一个参数好像在释放资源，不用看了

我们直接看下一个关键函数，可以看到这里调用了一个长得像域名的字符串

然后我们可以看到解析了ip地址，查了一下，确认为恶意

后面就是连接操作了，不再继续分析下去了

结果

这是一个键盘行为窃取器

IOC

147.185.221.26

medical-fan.gl.at.ply.gg