相关组织:APT28 FuncyBear
类型:maldoc - dropper
来源类型:maldoc
样本时间:2021.3
样本文件:
tdp1.exe md5,AE1E587D19250DEB40E92587B8A2188C
devtmrn.exe md5,3537ED6D4038CA7DBC054308C40FC3E3
TermSrvClt.dll md5,FA4B1EFD428BBF47F9C8395CA91EFF25
tpd1.exe 为一个恶意文档下载得到的dropper
devtmrn.exe 为tpd1.exe 释放的文件
TermSrvClt.dll 为tpd1.exe 释放的文件
tpd1.exe分析
第一个函数释放相关文件
第二个函数删除自身
释放路径:
%username%\AppData\Local\devtmrn.exe
%username%\AppData\Local\Microsoft\TerminalServerClient\TermSrvClt.dll