吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 4821|回复: 5
收起左侧

[PC样本分析] 简单的下载者分析

  [复制链接]
foolish 发表于 2015-12-2 16:46
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 foolish 于 2015-12-2 16:48 编辑

样本
文件名:_WGN.nil
文件MD5:2a937b12ba42f896e815fd4ac96cbc37
文件类型:DLL

文件名:desktop.ini
文件MD5:272cd74c46cf0ebac596cf27d1818d01
文件类型:加密的SHELLCODE

样本来源:http://www.52pojie.cn/thread-434393-1-1.html

分析过程
启动方式,借用rundll32来调用_WGN.nil的导出函数rundll32。
_WGN.nil的功能很简单,对文件desktop.ini文件的内容进行解密,然后加载调用。IDA反汇编截图:

这里用Python写了一个解密的脚本:
[Python] 纯文本查看 复制代码
#coding:utf-8

src = open('desktop.ini').read(0x1000)
key = ord(src[0]) ^ 0x4e
dst = ''
for i in src:
    dst += chr(((ord(i) ^ key) + 66) & 0xff)
print dst.encode('hex')

主要来分析SHELLCODE的功能
  • 获取多个函数地址
  • 尝试打开互斥体CCC
  • 设置文件Thumbs.db,usb3.exe,C:\MSI\TrustedInstaller.exe属性为正常
  • 下载文件http://m.deltaheavy.ru/m,保存为Thumbs.db
  • 创建文件夹:C:\MSI
  • 使用fopen,getc,putc,fclose等函数将文件Thunbs.db复制为C:\MSI\TrustedInstaller.exe
  • 设置文件Thumbs.db,usb3.exe,C:\MSI\TrustedInstaller.exe属性为隐藏、只读、系统
  • 使用WinExec调用C:\MSI\TrustedInstaller.exe执行
  • 使用WinExec调用usb3.exe
  • 删除usb3.exe
  • 结束
主要恶意行为
其实该文件就是一个典型的下载者,并未对本地文件进行修改,只是下载恶意程序,并运行。删除该文件即可。


免费评分

参与人数 1热心值 +1 收起 理由
Hyabcd + 1 已答复!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

常黑屏 发表于 2015-12-2 17:08
,感谢楼主分享
wangsking 发表于 2015-12-2 18:14
羲月酱 发表于 2016-3-13 16:40
先谢郭嘉 发表于 2016-3-14 08:21
感觉不错
yudajun2009 发表于 2016-3-19 07:59 来自手机
回帖是一种美德,谢谢分享
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 13:10

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表