网站 › 『病毒分析区』 › 关于坛友发的锁初窥

小白33421 发表于 2021-7-8 15:12

关于坛友发的锁初窥

关于坛友提供的的病毒样本的初窥:Dweeqw

这款锁机 采用了释放的方式来作恶

锁机部分 分析很简单
无非就是一个硬盘锁

易语言程序 无壳401000 走一波
搜索字符串

可以看到密码和作者的QQ等信息
甚至可以猜测作者使用的模块是   无名模块
按道理来说这里就应该结束了对吧

]但是这款锁机不仅仅含有锁机内容这么简单！！！！
在分析第二个释放出来的文件时....
我发现没有那么简单于是继续跟踪

可以看到，这里出现了一个奇怪的链接
根据链接可以得到一个新文件run.exe这是一个后门病毒火绒报毒

新网址指向的也是360图标的文件
360图标文件内有QQKEYsteam盗号获取qq信息等内容
本人才疏学浅无力分析这些内容待大佬分析
附上图片一张

附上调试时取出的文件和IP
提取链接
提取码:1234
压缩包密码：52pojie


提醒   请在虚拟机调试！！！！

小白33421 发表于 2021-7-8 15:13

链接发送时被吞了
这里补一下
链接：https://pan.baidu.com/s/1ywTTsmngGoeL6u_fH9tg7A
提取码：1234
压缩包密码52pojie

小白33421 发表于 2021-7-9 10:34

中文密码输入方式后续来啦
首先,键盘需要打开小键盘锁,确定小键盘的数字可以用,接着依次根据下文操作:
按住Alt，然后依次按185然后松开Alt会出现一个绿色的字符
按住Alt，然后依次按254然后松开Alt会出现一个绿色的字符
按住Alt，然后依次按100然后松开Alt会出现一个绿色的字符
按住Alt，然后依次按97然后松开Alt会出现一个绿色的字符
按住Alt，然后依次按49然后松开Alt会出现一个绿色的字符
按住Alt，然后依次按53然后松开Alt会出现一个绿色的字符
此时,当屏幕出现输入的6个绿色的字符,回车

这个就是输入方式
ascll码
附上工具


原理其实就是转换成能识别的ascll码
但是针对这个锁机来讲
里面还有很多不为人知的东西
推荐开机后进行全部盘查杀
或者直接重装系统操作

ahov 发表于 2021-7-11 10:12

那个后门不简单
关于后门的行为补充分析：
1.后门病毒先会复制自身到C:\Windows\XXXXXX5B07E7D0\svchsot.exe，在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\XXXXXX5B07E7D0目录创建自启动
2.然后后门病毒复制自身到C:\Program Files\Arrange\NULL.jpg，创建SharedAccess服务实现双重自启动
3.后门病毒尝试下载http://43.129.230.36/8908.exe到
C:\Windows\Temp\8908.exe目录
4.后门病毒尝试下载
http://139.155.178.173:888/NetSyst96.dll到
C:\Program Files\AppPatch\NetSyst96.dll目录
5.后门病毒尝试下载
http://139.155.178.173:888/360diao.exe，目录未知
6.后门病毒释放sec.exe和nvidia.exe，下载Seh.exe到C:\Windows\Temp\Seh.exe目录，下载Ser.exe到C:\Windows\Temp\Ser.exe目录，下载Sel.exe到C:\Windows\Temp\Sel.exe目录，下载Picture.exe到C:\Picture.exe目录

另外从后门病毒内存当中发现了可疑项目：
url
http://www.ip138.com/ips138.asp?ip=%s&action=2
url
http://dns.aizhan.com/?q=%s
url
http://users.qzone.qq.com/fcg-bin/cgi_get_portrait.fcg?uins=%s
疑似是后门病毒通过api的方式查询中毒用户的IP地址、IP地址所在位置、IP地址是否存在域名和存在什么域名、通过QQ号查询QQ空间和QQ头像等

补充
1.后门病毒会检测VMware虚拟机
2.后门病毒运行过程中会持续寻找Seh.exe、nvidia.exe、inject-x86.exe（inject-x86.exe暂时不清楚是什么，没看到有下载或者释放的动作）
3.后门病毒疑似会记录键盘记录和安装全局钩子

139.155.178.173
IPv4
中国 四川省 成都市|数据中心|腾讯

43.129.230.36
IPv4
中国 |数据中心|腾讯

用的都是腾讯云的服务器

通过查询服务器的ip地址，可以发现此后门病毒传播较早且较广，并且专门盯上破解、外挂等产品

lcllfj233 发表于 2021-7-8 15:51

本帖最后由 lcllfj233 于 2021-7-8 15:52 编辑

前排。。

用微笑带过 发表于 2021-7-8 16:06

前排围观技术控

sutramusic 发表于 2021-7-8 16:25

这个分析得很详细了，虽然还有点不懂，主要是基础没学好。

JuncoJet 发表于 2021-7-8 16:28

密码是个中文，输入不进去的，但是扇区有备份到0x400，可以回拷到首个扇区来恢复,

tabirs 发表于 2021-7-8 16:40

前排围观技术控

haoyi2010 发表于 2021-7-8 16:41

{:1_921:}牛x

厉害了

幻羽儿 发表于 2021-7-8 16:43

厉害厉害，围观

木然狮子 发表于 2021-7-8 16:45

学习技术大神

查看完整版本: 关于坛友发的锁初窥