葡萄美酒夜光杯,样本分析来一回
本帖最后由 JustPlay 于 2018-7-18 16:06 编辑概述:
在某饭上发现的一个样本,楼主还附加了视频,看完之后,热血澎湃,忍不住要分析一下。吸引我眼球的就是我的偶像,张家辉。“偶系渣渣辉” “里没油玩过的船性版本。”
视频地址:https://www.bilibili.com/video/av19358277
样本分析
此样本有8 MB之大,主要是因为里面有大量资源,包括音乐,图片,可执行程序等。通过运行会发现,样本具有修改屏保,文件图标,文件的关联程序,自启动,蓝屏等功能,下面我们一一来看一下。在更换图标前,肯定需要先将图标文件放到C盘根目录下
上图中的bat文件内容是assoc .exe=exefile,接着运行1.bat文件,修改系统中可执行文件的图标
接着在当前文件夹内释放1.bmp(隐藏属性),也就是相当火爆的“贪玩蓝月”海报
设置注册表实现自启动
接着就会设置文件的关联程序
设计的文件类型有28种,详情如下:png,txt,WMV,jpg,iso,bin,exe,mp3,dll,mp4,VBS,AVI,7z,wav,sys,ico,bmp,GHO,ini,JS,GHOST,zip,rar,bat,lnk,gif。从沙箱的行为签名中也可以清晰的看到
接着释放并启动xx.exe,这是一个下雪的背景,挺好看的,但是可别在主机上运行,他会覆盖你的整个桌面,让你无法操作系统。然后会创建一个名为“代码.scr”的文件,并写入一个PE,系统显示为屏幕保护程序
运行效果如下(动态的),有没有黑客帝国的感觉
最后就会使系统蓝屏,所使用的方法也比较简单,就是调用了三个函数CreateWindowStationSetHandleInformation 设置保护模式CloseWindowStation 关闭被保护的句柄,引起bug,造成蓝屏
总结
虽然我个人是张家辉的死忠粉,看到贪玩蓝月就像下载安装,和偶像一起拼杀。但经过这一波分析,我眉头一皱,发现事情没这么简单。在这个样本里竟然隐藏着如此秘密,看来从网上下载时一定要小心谨慎,以防电脑中毒,后悔不及。
参考链接
https://s.threatbook.cn/report/file/f8a62af57d83a408ea202d9455eb939acec5771753fd786de880f8a3cb5330a4/?env=win7_sp1_enx86_office2013&utm_campaign=analysis&utm_medium=tz&utm_source=Adconly&gio_link_id=noq5Nwok ffffffff 发表于 2018-7-22 11:31
楼主能给讲解一下是怎么逆向的吗? 感觉自己进行逆向的时候很懵找不到主函数。。。。。
推荐你看一本书,恶意代码分析实战,红皮的,写的挺简单的,可以先看一下 JustPlay 发表于 2018-7-23 09:24
推荐你看一本书,恶意代码分析实战,红皮的,写的挺简单的,可以先看一下
好的 我看看 谢谢了!!! 支持楼主,虽然我都看不懂! 支持楼主虽然我都看不懂
楼主标题 引人不得不入 我想要那个下雪代码的背景动图,大神能分离出来吗 支持楼主虽然我都看不懂 我想把渣渣辉改成我家大幂幂。。。配爱的供养~ 期待再来一回