组织分类:IAmTheKing 俄罗斯
类型:malware win32 RAT
md5:df43a1fcf641ee5c1b4b21f069aa93b0
sha256:23e7e0bbc36d523daa8e3cd8e32618c6c1fb61e32f664756e77d7917b3b11644
该程序由c++编写,进入主函数先进行了动态调用获取了几个函数地址
通过注册表位置检测vmware和vbox虚拟机
通过注册表检测virtualbox
获取网络名,主机名,用户名,版本
通过api进行http 访问31.214.157.14,上传信息
搜集信息完毕,启动线程,进行接下接收控制命令循环