吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 10811|回复: 27
收起左侧

[PC样本分析] 关于最近出现的照片.exe升级版分析

  [复制链接]
willJ 发表于 2012-7-23 20:55
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
基本信息

  报告名称:关于最近出现的照片.exe升级版分析
  作者:willJ
  报告更新日期:2012/7/22
  样本发现日期:未知
  样本类型:捆绑后门型
  样本文件大小/被感染文件变化长度:73728 字节
  样本文件MD5 校验值:9937c1c5bb9d8662206d9bbca24a16c9
  壳信息:无壳
  可能受到威胁的系统:window操作系统
简介

最近网上暴露了一些以前利用暴风update来加载dll的升级版病毒,通过诱惑的名字以及用照片的图片作为可执行程序的图标诱使用户点击,弹出一个照片,这时木马病毒已经悄悄在后台运行。
被感染系统及网络症状

在C:\Program Files目录下面会多出一个暴风2文件夹,文件夹中包含一个正常的暴风.exe(带签名)和一个被劫持的DLL,C:\Program Files下面会生成一个正常的0.jpg就是显示的照片。
网络症状

连接地址:air66484686.eicp.net

详细分析/功能介绍
1.动态获取文件查找相关的API,查找当前目录下面有没有jpg结尾的文件
图片1.jpg
2.如果没有找到jpg文件,就会启动自己写的一个画图程序,也就是一个正常代码执行
图片2.jpg
这个也就是学习window程序设计需要练习的程序
3.如果发现了jpg文件,申请一个200000H的空间来读取图片内容
图片3.jpg

4.C:\Program Files下面释放一个0.jpg,调用shellexecute打开图片
图片4.jpg
5.创建c:\\Program Files\\暴风2文件夹,然后在文件目录下面释放一个StormPlayer.dll(这个是可以被劫持的dll,向文件尾写入大量无效的数据,通过自增大可能可以防止云吧。
图片5.jpg
图片6.jpg
6.在c:\\Program Files\\释放一个tmp.dat文件,可能是用来存储键盘记录的数据
7.载入释放的dll程序,Call dll的一个导出函数DllRegisterServer,作用是释放一个正常的带签名的StormPlayer.exe(暴风),然后运行暴风程序,达到一个白签名的程序调用一个有威胁的dll,绕过杀软。
图片7.jpg
8.这个时候后门程序已经在后台运行了,功能代码就在释放的dll里面,其实有键盘记录等各种黑客操作,这个dll也写得比较巧妙,各种API都是动态获取的,而且字符串都是base64加密的,要用的时候再解密使用。

预防及修复措施

不要去接收那些未知的exe或者运行,不要被那些诱惑的名字诱惑了
修复方式:
结束掉任务管理器的stormPlayer.exe
图片8.jpg
清理c:\\Program Files\\下面的暴风2文件夹,还有tmp.dat,如果你比较喜欢那张照片可以留下0,jpg,呵呵。

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

Kido 发表于 2012-7-23 21:07
膜拜J师傅.J师傅的分析越来越屌了。
默。 发表于 2012-7-23 21:13
badboyxt 发表于 2012-7-23 21:14
热火朝天 发表于 2012-7-23 21:16
可惜美女看不见样子呢
a13005746827 发表于 2012-7-23 21:24
直接提取图片。
sunsun103 发表于 2012-7-23 21:27
我觉得好厉害。。我不懂,我学思科的
Smallhorse 发表于 2012-7-23 21:36
膜拜J师傅,果断“保存图片”。。。嘿嘿!
pwzh88 发表于 2012-7-23 21:39
Smallhorse 发表于 2012-7-23 21:36
膜拜J师傅,果断“保存图片”。。。嘿嘿!

你小子还知道出现啊!不知道哪得罪你了,不理人了
1354669803 发表于 2012-7-23 23:33
老师 有种病毒将所有的EXE文件都用图片查看器打开 隐藏所有的磁盘 然后限制计算机权限是怎么回事?
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-28 07:32

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表