好友
阅读权限10
听众
最后登录1970-1-1
|
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 cool147852369 于 2016-2-27 09:26 编辑
为了安全请在虚拟机中分析 ,火眼报告在下面
1.脱壳
此处略去
2.用OD载入如图
3.看看字符串发现如下内容……
这个**居然还在用SMTP 发信
所以,不说话 进去看看 不过很可惜,密码已经被修改了
跟进
00473260=免费版刷.00473260 (ASCII "qwedsa123")
他的密码 , 目测是小号
也不深入探究了
总之记住,世界上没有免费的午餐的
所以发这个帖子做早饭了
破解例子如下
[url=]免费版刷钻软件.7z[/url]
没有屌丝通道……网盘什么的不让传
火眼报告:http://fireeye.ijinshan.com/analyse.html?md5=767ab1caf0f6a5d8d6b856e8c75af13f&sha1=1f4794613e6e956c30d74db69ac30e2eb2cfca02&type=1
文件名称
文件MD5
上传时间
[color=rgb(56, 56, 56) !important]免费版刷钻软件.exe
[color=rgb(56, 56, 56) !important]767ab1caf0f6a5d8d6b856e8c75af13f
[color=rgb(56, 56, 56) !important]2016-02-27 09:12:31
基本信息
文件名称: 免费版刷钻软件.exeMD5: 767ab1caf0f6a5d8d6b856e8c75af13fSha-1: 1f4794613e6e956c30d74db69ac30e2eb2cfca02文件大小: 652KB创建时间: 2016-02-27 09:12:31文件类型: EXEPEID信息: Microsoft Visual C++ 6.0文件注释: 本程序使用易语言编写(http://www.eyuyan.com)文件描述: 易语言程序文件版本: 1.0.0.0版权所有: 作者版权所有 请尊重并使用正版产品名称: 易语言程序产品版本: 1.0.0.0
火眼点评
远程注入其他进程;添加Windows防火墙例外,防止访问网络时被防火墙拦截;IE 代理服务器设置;在其他进程中申请内存;隐藏指定窗口;创建互斥体
危险行为监控
- 行为描述:远程注入其他进程
附加信息:winlogon.exe
其他行为监控
- 行为描述:创建互斥体
附加信息:"Vx_5"
- 行为描述:隐藏指定窗口
附加信息:WTWindow : [免费版刷钻软件.exe]
- 行为描述:在其他进程中申请内存
附加信息:%system%\winlogon.exe
- 行为描述:IE 代理服务器设置
附加信息:关闭IE代理服务
- 行为描述:添加Windows防火墙例外,防止访问网络时被防火墙拦截
附加信息:\??\%system%\winlogon.exe >> \??\%system%\winlogon.exe:*:enabled shell32.dll,-1
注册表监控
- HKEY_LOCAL_MACHINE\\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\F...[\??\%system%\winlogon.exe] = [\\??\\C:\\WINDOWS\\system32\\winlogon.exe:*:enabledshell32.dll,-1]
- HKEY_LOCAL_MACHINE\\SYSTEM\CurrentControlSet\Services\SharedAccess\Paramete...[\??\%system%\winlogon.exe] = [\\??\\C:\\WINDOWS\\system32\\winlogon.exe:*:enabledshell32.dll,-1]
运行截图
|
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
[复制链接]
发表于 2016-2-27 09:15
发表于 2016-2-29 15:40
软件界面无法直视!排版更无法直视!你可以录个视频
