网站 › 『病毒分析区』 › skypee病毒分析

huzpsb 发表于 2019-5-17 12:58

skypee病毒分析

说明：  萌新一枚，如果有什么不妥之处，欢迎管理大大们指正！一，反编译与解密：
       反编译很简单，直接一波无脑操作
      
       混淆也不是很难，只不过是无脑替换而已。。。
      
       这些过程便不予赘述。
二，流程分析：
      
      先是对浏览器下手，
      可以看出我们可怜的IE。。
      然后一个跳转
      跟，
      啊哈，我们可怜的u盘和磁盘就这么被感染了
      
      看得出我们的荧光笔部分貌似是一个IOC
      但是貌似死了（DNS没有解析）
      
      我们的各个重要文件夹就是这样被干掉的。
      
三，反分析对抗：
         huzpsb貌似刚开始还不能运行这个鬼东西？
         
         懂了，我的vmtool被检测了
         还不行？！
      
      地址也是目标检测对象。
      剩下的也没什么看头，打个哈欠，算了，（略）
四，一些细节：
      
      用心的孩子们已经发现了这是一个
      （请仔细思考，然后按下ctrl+a）
      自毁暗装
      故我们不需要另写杀毒脚本。
附件，源代码：


谢谢大家！能忍我BB道现在.

xieyi1393 发表于 2020-4-16 12:09

我们初中就是被这类病毒搞的(开隐藏文件夹检测出一个AutoIt.exe),当时我发现问题(cmd.exe无故无法打开,且询问信息老师并没有禁止cmd启动)已经晚了,虽然电脑有硬盘保护系统,老师的U盘没有.估计一大堆老师的U盘里全是这鬼东西,于是后面全校装火绒(之前咱们学校电脑裸奔n年了,还是Win7)

huzpsb 发表于 2019-5-17 13:57

caocao300 发表于 2019-5-17 13:42
大神看看这个
https://pan.baidu.com/share/link?uk=1345919540&shareid=3052702843

隐藏安装了
音乐FM安装程序
和
Kingsoft Download Module
又篡改了主页
危害性不大
属于捆绑

shaokui123 发表于 2019-5-17 13:24

讲啥啊
没看懂

caocao300 发表于 2019-5-17 13:26

求大神帮忙看下这个是不是病毒

caocao300 发表于 2019-5-17 13:42

大神看看这个
https://pan.baidu.com/share/link?uk=1345919540&shareid=3052702843

caocao300 发表于 2019-5-17 14:10

huzpsb 发表于 2019-5-17 13:57
隐藏安装了
音乐FM安装程序
和

可我会自动关程序不知道咋回事，加个好友吧

Hmily 发表于 2019-5-17 14:40

这是你原创的文章吗？

Dream_G 发表于 2019-5-17 15:43

shaokui123 发表于 2019-5-17 13:24
讲啥啊
没看懂

大佬头像怎么设置才能动呢，还是需要什么条件？

shaokui123 发表于 2019-5-17 16:12

Dream_G 发表于 2019-5-17 15:43
大佬头像怎么设置才能动呢，还是需要什么条件？

就正常上传动态图片啊

huzpsb 发表于 2019-5-17 17:13

Hmily 发表于 2019-5-17 14:40
这是你原创的文章吗？

绝大部分是的。
不过中间有一些来自
微步云沙箱的数据。

查看完整版本: skypee病毒分析