Raccoon 是一个恶意软件家族，自 2019 年初以来一直在地下论坛上作为恶意软件即服务出售。2022 年 7 月上旬，发布了该恶意软件的新变种。Raccoon 木马会收集目标系统的重要数据，并将收集到的数据回传至攻击者服务器，给用户造成隐私泄露、经济损失等严重后果。

MD5：4ceae09ac95a169bf12d7c4f1048006c

SHA1:3b6858ad62a80ecc157733111f556b92d3cfb7b0

FILE TYPE：exe(x86)

编译时间：

DLL 和 WinAPI 函数的名称以明文形式存储在二进制文件中。

依旧使用的是常见的加载函数手段，Loadlibrary GetprocAddress 。

DLL：

当动态加载完DLL后，就会执行解密函数。

RC4 加密字符串以 base64 编码存储在样本中，使用密钥 “ edinayarossiya ” 进行对字符串解密。

编写脚本批量进行解密

这里只解密了一部分密文，可以从图中看出 该样本查询了电脑相关信息

c2使用了不同的密钥进行解密，ip=hxxp://51(.)195(.)166(.)184/

该c2已经在vt报毒

创建为8724643052互斥体，判断进程信息是否等于  S-1-5-18

通过RegQueryKeyExW和RegQueryValueExW函数从注册表项“ SOFTWAREMicrosoftCryptography ”中检索机器 ID

[培训]科锐逆向工程师培训第53期2025年7月8日开班！