双重差分回归结果解读（两个BackDoor样本的共性）

双重差分回归结果解读（两个BackDoor样本的共性）以上两个样本关于提权的关键API函数的控制流程图和物理链结构完全一样。样本8a8:0X01 关键字符串信息样本001：样本8a8:

样本名称：BackDoor-FALR!001DD76872D8(McAfee)

MD5：001dd76872d80801692ff942308c64e6（以下称样本001）

样本名称：BackDoor-FALR!8A86DF3D382B(McAfee)

MD5：8a86df3d382bfd1e4c4165f4cacfdff8（以下称样本8a8）

0X01 关键字符串信息

样本001：

样本8a8:

样本8a8:

以上两个样本关于提权的关键API函数的控制流程图和物理链结构完全一样。

这也验证了Pr0.s的一个理念，很多样本会在某些操作上具有相同的“基因”。

0X03 网络操作

InternetConnect--WinInet函数系列，用于Internet的连接，连接的服务器：cas.m-e.org.ru，连接端口：80；一旦和服务器的连接已经建立，则打开相应的文件。

HttpOpenRequest和HttpSendRequest一起工作打开文件。

HttpOpenRequest去创建个请求句柄并且把参数存储在句柄中。

HttpSendRequest把请求参数送到HTTP服务器。

样本001:

样本8a8:

以上两个样本关于提权的关键API函数的控制流程图和物理链结构完全一样。

再一次，验证Pr0.s关于恶意代码共同“基因”的假设。

另外：

样本001中网络行为参数为DOMAIN：cas.m-e.org.ru

样本8a8中网络行为参数为DOMAIN：media.finanstalk.ru

感谢观看！本期到此结束，更多资讯、干货请关注“e安在线”官网网站。