2枚敲诈木马分析过程
本帖最后由 轩少 于 2014-6-27 22:33 编辑在群里看到个被锁机的人,好可怜啊。。
哥哥是个有热心的人,,就帮他了!
然后,给我传过来锁他电脑的东西,,随后360报毒为恶意软件。。
尝试用记事本打开,但是刚打开360就提示有程序正在加锁。。
好吧,走OD!
先来第一个HASH
----------------------------------------------
大小: 1536 字节
修改时间: 2014年1月31日, 1:28:10
MD5: 0B1972462EC0041BF9711561CA1A1B45
SHA1: 700B448E07738CB82937983CA86C61A82F4E060D
CRC32: 5BAD5D4C
-----------------------------------------------
然后载入OD。。。
右击鼠标,选择中文搜索引擎,ASCILL搜索。。
发现了个这东西
看来107289就是密码了。
然后给他……
完美解决!附样本1(请无视掉文件名,打错了)下载:
但是。。。。
这货给我介绍了个HACKER,,这个HACKER的朋友也被锁机了,,
然后开始搞第二个……
第二个的HASH
----------------------------------------------
大小: 774144 字节
文件版本: 20.13.9.27
修改时间: 2014年4月17日, 13:14:25
MD5: 24EC95CE2AE5F7A82B4143997BFC07C1
SHA1: B69D2CD88DDBE3595A3555C3A2E2567DE2D250A0
CRC32: 0FF1E28D
----------------------------------------------
据说也是锁机的。。
用PEID查了下,VC++6.0,无壳!
载入OD。。
没有netuser命令
试试第二种方法:改后缀为.txt
然后搜索 买密码
看到了,够坑爹的啊
看来skull2014应该是密码了
附上2枚样本,想玩的请在虚拟机玩,第二枚的密码没有经过验证,所以可能不对(如果可能,在虚拟机玩成功的麻烦回个贴呗。。)。。
样本2太大,8MB,,网盘下载链接: http://pan.baidu.com/s/1mgoNwSS 密码: drvw压缩包密码:52pojie(狗X的百度,吞哥2个链接!李彦宏,你妹的!!) H2o 发表于 2014-6-26 10:31
然后再次分析QQ.exe即可得后台
那你来吧。。可能在释放的同时锁电脑,没安虚拟机,不敢在物理机玩。。 微笑嘻嘻 发表于 2014-6-26 10:47
我也查看过
同时下载一个19M的文件,然后消失了
链接: http://pan.baidu.com/s/1mgBObTA 密码: qtnr
新的链接 你运行一下 验证一下! H2o 发表于 2014-6-26 10:23
你运行一下 验证一下!
你妹!第二个这货运行后在C根目录下释放QQ.exe,不敢! 轩少 发表于 2014-6-26 10:29
你妹!第二个这货运行后在C根目录下释放QQ.exe,不敢!
然后再次分析QQ.exe即可得后台 轩少 发表于 2014-6-26 10:32
那你来吧。。可能在释放的同时锁电脑,没安虚拟机,不敢在物理机玩。。
直接复制超链接下载分析 第二个密码就是那个 H2o 发表于 2014-6-26 10:40
直接复制超链接下载分析
→_→你来吧。。。那里面还有个VBs文件,不知道干什么的 连接消失了 下载QQ.EXE的那个
QQ.EXE应该是远程木马