吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 14889|回复: 57
收起左侧

[PC样本分析] 卢本伟病毒样本分析

  [复制链接]
Zzzzlce 发表于 2020-9-11 22:43
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!

样本信息

​                              

静态分析

1、查壳

2、查看调用了什么算法

3.用IDA打开,可以发现代码逻辑清晰,推测没有加壳

​     

4、查看导入表

可以在清晰的知道病毒使用ADVAPI32对注册表进行一系列操作

image-20200911221840987

动态分析

5、沙箱运行

主要特征:设置桌面背景,删除系统文件,命令执行(包括不限于关闭安全服务,注册表操作,修改图标),鼠标设置为错误图标。

​     

​     

image-20200911222119079

病毒分析

start**处分析**

image-20200911222156968image-20200911222202610

写出文件

image-20200911222207971

image-20200911222213083

命令行执行

image-20200911222220657

image-20200911222225908image-20200911222235625

image-20200911222252361

​             image-20200911222304636image-20200911222314449

image-20200911222321749image-20200911222334170image-20200911222339453image-20200911222329184

image-20200911222349068

启动打印机

image-20200911222452347

image-20200911222502323image-20200911222513290

屏蔽快捷键

image-20200911222519726image-20200911222526453

恶意软件生成内容

Main.cpp内容(从程序导出)

#include <tchar.h>

#include <windows.h>

int WINAPI WinMain (HINSTANCE hThisInstance,HINSTANCE hPrevInstance,LPSTR lpszArgument,int nCmdShow)

{

  HWND hwnd = GetDesktopWindow();

  HDC hdc = GetWindowDC(hwnd);

  POINT point;

  while(1)

  {

​    GetCursorPos(&point);

​    DrawIcon(hdc,point.x,point.y,LoadIcon(NULL, IDI_ERROR));

​    Sleep(10);

  }

}

Ghost.exe:

image-20200911222538808

Drawerror.exe:顾名思义就是在鼠标经过的地方出现error图标(由main.cpp编译而来)

image-20200911222544733

总结

新手分析病毒,如有错误欢迎指出。

https://pan.baidu.com/s/1S45g40UXdKGiGapOduiv8w
提取码:52po

免费评分

参与人数 16威望 +1 吾爱币 +34 热心值 +15 收起 理由
冰蚌 + 1 + 1 谢谢@Thanks!
iComputer + 1 + 1 热心回复!
_inyF + 1 + 1 用心讨论,共获提升!
1113 + 1 + 1 我很赞同!
QQQRRR + 1 + 1 我很赞同!
wwjwu + 1 + 1 热心回复!
shaoran + 1 全体起立,LBW(名字违禁)广场接受大家的留言
yinchangsheng58 + 1 + 1 请勿灌水,提高回帖质量是每位会员应尽的义务!
Hmily + 1 + 20 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
wuliwuli + 1 热心回复!
Sanstyle01 + 1 + 1 谢谢@Thanks!
风吹即逝 + 1 + 1 我很赞同!
hbw1314 + 1 + 1 lbwnb!
zxs1127 + 1 啥也不说了。卢本伟牛鼻
lihaiyangya + 1 + 1 我很赞同!
晨曦照相 + 2 + 1 用心讨论,共获提升!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

慵懒丶L先森 发表于 2020-9-14 13:57
还以为是桌面图标全改成LBW,然后壁纸替换,无限弹窗LBWNB,结果这和LBW打不到一块啊。。。。不过这波分析可以,LBWNB!
abcde1224 发表于 2020-9-14 12:19
你17张牌能秒我  话说你这个病毒样本在哪儿找到的
方小云 发表于 2020-9-14 10:58
HonmaMeiko 发表于 2020-9-14 11:04
请问为啥叫卢本伟病毒?
tjytian 发表于 2020-9-14 11:09
看到卢本伟我进进来了
Petrel 发表于 2020-9-14 11:28
应为这个软件被 挂了 度 而这个软件是他做的
csotour 发表于 2020-9-14 11:39
全体起立 LBYNB
Zet_Dark 发表于 2020-9-14 11:43
LBW病毒可还行,请问为啥叫这个名,和LBW有啥关系
默契过多 发表于 2020-9-14 11:55
我经常说一句话:当年,陈刀仔用20块赢到3700万,我卢本伟用20万赢到500万不是问题。
z5252 发表于 2020-9-14 12:13

LBW病毒NB
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 09:52

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表