吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 7042|回复: 53
收起左侧

[PC样本分析] 关于坛友发的锁初窥

  [复制链接]
小白33421 发表于 2021-7-8 15:12
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
关于坛友提供的的病毒样本的初窥:Dweeqw
工具分析文件 提取.png
这款锁机 采用了释放的方式来作恶

释放出的文件

释放出的文件

锁机部分 分析很简单
无非就是一个硬盘锁
401000 字符串查找.png
易语言程序 无壳  401000 走一波
搜索字符串
1.png
可以看到密码和作者的QQ等信息
甚至可以猜测作者使用的模块是   无名模块
按道理来说这里就应该结束了  对吧

]但是这款锁机不仅仅含有锁机内容这么简单!!!!
在分析第二个释放出来的文件时....
我发现没有那么简单  于是继续跟踪
跟踪 360 图标.png
可以看到,这里出现了一个奇怪的链接
根据链接可以得到一个新文件  run.exe  这是一个后门病毒  火绒报毒
150224e6fzezfiefi0edz8.png
新网址指向的也是360图标的文件
360图标文件内  有QQKEY  steam盗号  获取qq信息等内容  
本人才疏学浅  无力分析这些内容  待大佬分析
附上图片一张
字符串分析(粗).png
附上调试时取出的文件和IP
提取链接
提取码:1234
压缩包密码:52pojie


提醒   请在虚拟机调试!!!!


免费评分

参与人数 8吾爱币 +14 热心值 +6 收起 理由
Atozye + 1 + 1 用心讨论,共同提升!
刘爱学 + 1 + 1 谢谢@Thanks!
chenkeai深蓝 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
404undefined + 1 + 1 热心回复!
itachi137 + 1 + 1 热心回复!
Hmily + 7 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
24k纯金滑稽 + 1 + 1 用心讨论,共获提升!
大天使的翅膀 + 1 热心回复!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| 小白33421 发表于 2021-7-8 15:13
链接发送时被吞了
这里补一下
链接:https://pan.baidu.com/s/1ywTTsmngGoeL6u_fH9tg7A
提取码:1234
压缩包密码  52pojie
 楼主| 小白33421 发表于 2021-7-9 10:34


中文密码输入方式后续来啦
首先,键盘需要打开小键盘锁,确定小键盘的数字可以用,接着依次根据下文操作:
按住Alt,然后依次按185然后松开Alt会出现一个绿色的字符
按住Alt,然后依次按254然后松开Alt会出现一个绿色的字符
按住Alt,然后依次按100然后松开Alt会出现一个绿色的字符
按住Alt,然后依次按97然后松开Alt会出现一个绿色的字符
按住Alt,然后依次按49然后松开Alt会出现一个绿色的字符
按住Alt,然后依次按53然后松开Alt会出现一个绿色的字符
此时,当屏幕出现输入的6个绿色的字符,回车

这个就是输入方式
ascll码
附上工具
星河中文密码转换器-破翻译专用.zip (439.97 KB, 下载次数: 12)

原理其实就是转换成能识别的ascll码
但是针对这个锁机来讲
里面还有很多不为人知的东西
推荐开机后进行全部盘查杀
或者直接重装系统操作
ahov 发表于 2021-7-11 10:12
那个后门不简单
关于后门的行为补充分析:
1.后门病毒先会复制自身到C:\Windows\XXXXXX5B07E7D0\svchsot.exe,在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\XXXXXX5B07E7D0目录创建自启动
2.然后后门病毒复制自身到C:\Program Files\Arrange\NULL.jpg,创建SharedAccess服务实现双重自启动
3.后门病毒尝试下载http://43.129.230.36/8908.exe到
C:\Windows\Temp\8908.exe目录
4.后门病毒尝试下载
http://139.155.178.173:888/NetSyst96.dll到
C:\Program Files\AppPatch\NetSyst96.dll目录
5.后门病毒尝试下载
http://139.155.178.173:888/360diao.exe,目录未知
6.后门病毒释放sec.exe和nvidia.exe,下载Seh.exe到C:\Windows\Temp\Seh.exe目录,下载Ser.exe到C:\Windows\Temp\Ser.exe目录,下载Sel.exe到C:\Windows\Temp\Sel.exe目录,下载Picture.exe到C:\Picture.exe目录

另外从后门病毒内存当中发现了可疑项目:
url
http://www.ip138.com/ips138.asp?ip=%s&action=2
url
http://dns.aizhan.com/?q=%s
url
http://users.qzone.qq.com/fcg-bin/cgi_get_portrait.fcg?uins=%s
疑似是后门病毒通过api的方式查询中毒用户的IP地址、IP地址所在位置、IP地址是否存在域名和存在什么域名、通过QQ号查询QQ空间和QQ头像等

补充
1.后门病毒会检测VMware虚拟机
2.后门病毒运行过程中会持续寻找Seh.exe、nvidia.exe、inject-x86.exe(inject-x86.exe暂时不清楚是什么,没看到有下载或者释放的动作)
3.后门病毒疑似会记录键盘记录和安装全局钩子

139.155.178.173
IPv4
中国 四川省 成都市|数据中心|腾讯

43.129.230.36
IPv4
中国 |数据中心|腾讯

用的都是腾讯云的服务器

通过查询服务器的ip地址,可以发现此后门病毒传播较早且较广,并且专门盯上破解、外挂等产品 IMG_5591.jpg IMG_5592.jpg
lcllfj233 发表于 2021-7-8 15:51
本帖最后由 lcllfj233 于 2021-7-8 15:52 编辑

前排。。
用微笑带过 发表于 2021-7-8 16:06
前排围观技术控
sutramusic 发表于 2021-7-8 16:25
这个分析得很详细了,虽然还有点不懂,主要是基础没学好。
JuncoJet 发表于 2021-7-8 16:28
密码是个中文,输入不进去的,但是扇区有备份到0x400,可以回拷到首个扇区来恢复,
tabirs 发表于 2021-7-8 16:40

前排围观技术控
haoyi2010 发表于 2021-7-8 16:41
牛  x

厉害了
幻羽儿 发表于 2021-7-8 16:43
厉害厉害,围观
木然狮子 发表于 2021-7-8 16:45
学习技术大神
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 11:12

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表