一个易语言病毒的简单分析

鱼儿飞 · 发表于 2017-2-14 21:33

本帖最后由鱼儿飞于 2017-2-21 18:17 编辑

0 背景
在家电脑给弟弟完,然后发现好多chrome的进程.怀疑是病毒,OD一看,果然是.
下面是对这个病毒的简单分析,大牛飘过.

%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
超简单的分析,大牛飘过
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%

1 病毒截图
QQ截图20170214212025.png

2 OD载入,右键-智能搜索
无标题.png

3 搜索http 发现网址 http://x.*********.com/pagecpm/i?z=2113&zl=1

4 浏览器访问网址

自动跳转到这个界面..

让你添加群,软件应该是默认在后台帮你加群了吧.

5 再看搜索出来的字符串

找到另一个网址 http://www.****.cn/xq.html
QQ截图20170214212701.png

此外还有http://www.******.com/dyzh/10001.html [在ie18.exe这个文件里]
QQ截图20170214213009.png

结合之前的电脑症状是右下角弹窗提醒最新的游戏和可以确定无疑是他了.

6 总结
算法没有能力分析,仅仅从外表对这个病毒进行了分析,结论是这是个推广性的广告.
有能力的亲可以继续跟进分析.
附件解压密码: bingdu

病毒 .zip (2.09 MB, 下载次数: 134)

鱼儿飞 · 发表于 2017-2-21 18:19

解压密码:bingdu

大家可以下载看看,有能力的可以深挖

Hmily · 发表于 2017-2-15 10:44

cunzher 发表于 2017-2-14 22:37
楼主，有几张图片的QQ群号和网址链接未打码，快处理一下~

技术分析文章中的无所谓，论坛说的留QQ等方式是“主动”留自己的联系方式行为才违规。

@鱼儿飞解压密码好像不对？

hy5188 · 发表于 2017-2-14 21:49

谢谢分享

cunzher · 发表于 2017-2-14 22:37

楼主，有几张图片的QQ群号和网址链接未打码，快处理一下~

鱼儿飞 · 发表于 2017-2-14 22:41

cunzher 发表于 2017-2-14 22:37
楼主，有几张图片的QQ群号和网址链接未打码，快处理一下~

好的,多谢

注册一下帐号 · 发表于 2017-2-14 22:49

后台刷流量的？

Fore黑雪 · 发表于 2017-2-14 23:01

感谢分享。

Bad丶Boy · 发表于 2017-2-14 23:06

这些软件捆绑一大堆广告最恶心了。

pengtusheng · 发表于 2017-2-14 23:34

原来自动加群是这样的！

回归自然 · 发表于 2017-2-14 23:44

学习受教了

notearwoods · 发表于 2017-2-15 01:42

那个应该不是自动加群吧，我自己做的软件我也会做一个联系我们这样的加群链接

帐号		自动登录	找回密码
密码			注册[Register]

[PC样本分析] 一个易语言病毒的简单分析

免费评分

点评