這個程式主要也是惡意代碼對抗反彙編技巧。
接下來是一個循環,該循環加密了主機名:
值得注意的是,這裡需要把gethostname改成失敗的情況,不然無法進入加密環節
這裡把主機名加密成了這樣, 這将作為User-Agent的名稱
接下去就遇到了對抗反彙編的地方了。修複後發現其通過GetHostName()擷取了一個指向Bamboo.html的URL, 并讀取了該頁面的内容
從讀下來的内容中截取了一串字元串, 由于無法連接配接到該伺服器是以無法擷取該頁面内容
繼續讀取,把讀取到的内容寫入Account Summary.xls.exe的檔案内儲存
最後調用了ShellExecute來執行了這個檔案。我估摸着是一個可執行檔案。一來EXE結尾,而來用ShellExecute執行了。當然也不一定因為檔案字尾名可以随便改,我們并不知道其内容隻能猜測
(完)