病毒类型：后门

文件类型：32位

MD5：3E512BF9B63573702982FE4E013D55E8

SHA1：8B5B4BC62B5C3CF14C3C85D692DFAE383F514F64

32位windows可执行程序，为Inno安装包

程序释放文件：白加黑文件，并执行hallclient.exe程序，此程序会加载黑文件hallclientBase.dll。

hallclientBase.dll是一个ShellCodeLoader，是一个64位没有加壳的dll文件

程序通过动态解密函数来申请内存解密并拷贝shellcode，解密出来是一个64位的PE dll文件

提取出来的dll会检测是否是regsvr32.exe进程启动此dll，并且会绕过defender

会续设置计划任务Windef_Auto_Renew_Patch_Task，并进行APC注入

设置计划任务函数

后续会加载versions.dat到内存中并且调用解密函数进行解密

解密后申请内存进行执行

新解密的dll是一个C2的上线模块

解密IP地址

进行IP地址连接

解密登录模块

后申请可执行空间，并执行注入操作

·

查找tracerpt.exe进程并注入执行登录模块

登录模块具备注入操作，提升权限等操作

注入svchost.exe程序

提升权限

剪切板记录

检测各种监控软件等