"pdfsvr.exe"的有效数字签名如下图所示:
△pdfsvr.exe的数字签名
2.安装包分析
"云记事本"安装程序"calsp_820.exe"是一个病毒释放器,程序包含四个类型为IMAGEFILE的资源文件,如下图:
△calsp_820.exe资源文件
这些资源文件和病毒释放器释放的文件对应关系如下表,后文会对文件有详细分析。
△资源文件说明
病毒释放器"calsp_820.exe"在释放以上资源时才会还原原始资源文件头4个字节,如下图:
△还原文件前4个字节
病毒释放器中不同资源文件的详细分析:
(1)IMAGEFILE1442052资源对应文件setup.dat,该文件还原之后是Notepad2CN的cab自解压包。
△setup.dat文件
(2)IMAGEFILE1452052资源对应文件upsoar.ini文件,是"云记事本"的配置文件。
(3)IMAGEFILE1512052资源对应文件pdfsvr.exe,"pdfsvr.exe"有"南京鸿思信息技术有限公司"的有效数字签名,详细信息描述为"龙易PDF升级维护服务",但是在网络中我们找不到该程序相关信息。安装包启动检测到系统存在ksafesvc.exe和baidusdsvc.exe这两个进程后,才会释放"pdfsvr.exe",并且使用"/service"参数执行。如下图:
△带参数启动pdfsvr.exe文件
上一篇:使用斗鱼直播伴侣的使用教程方法
网友评论(共有 0 条评论)
