吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 21064|回复: 54
收起左侧

[PC样本分析] 葡萄美酒夜光杯,样本分析来一回

[复制链接]
JustPlay 发表于 2018-7-17 10:59
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 JustPlay 于 2018-7-18 16:06 编辑

概述:
在某饭上发现的一个样本,楼主还附加了视频,看完之后,热血澎湃,忍不住要分析一下。吸引我眼球的就是我的偶像,张家辉。“偶系渣渣辉” “里没油玩过的船性版本。”
视频地址:https://www.bilibili.com/video/av19358277
样本分析
此样本有8 MB之大,主要是因为里面有大量资源,包括音乐,图片,可执行程序等。通过运行会发现,样本具有修改屏保,文件图标,文件的关联程序,自启动,蓝屏等功能,下面我们一一来看一下。在更换图标前,肯定需要先将图标文件放到C盘根目录下
1.png
上图中的bat文件内容是assoc .exe=exefile,接着运行1.bat文件,修改系统中可执行文件的图标
2.png

3.png
接着在当前文件夹内释放1.bmp(隐藏属性),也就是相当火爆的“贪玩蓝月”海报
4.jpg
设置注册表实现自启动
5.png
接着就会设置文件的关联程序
6.png
7.png
8.png
设计的文件类型有28种,详情如下:png,txt,WMV,jpg,iso,bin,exe,mp3,dll,mp4,VBS,AVI,7z,wav,sys,ico,bmp,GHO,ini,JS,GHOST,zip,rar,bat,lnk,gif从沙箱的行为签名中也可以清晰的看到
9.png
接着释放并启动xx.exe,这是一个下雪的背景,挺好看的,但是可别在主机上运行,他会覆盖你的整个桌面,让你无法操作系统。然后会创建一个名为“代码.scr”的文件,并写入一个PE,系统显示为屏幕保护程序
10.png
运行效果如下(动态的),有没有黑客帝国的感觉
11.png
最后就会使系统蓝屏,所使用的方法也比较简单,就是调用了三个函数CreateWindowStationSetHandleInformation 设置保护模式CloseWindowStation 关闭被保护的句柄,引起bug,造成蓝屏
总结
虽然我个人是张家辉的死忠粉,看到贪玩蓝月就像下载安装,和偶像一起拼杀。但经过这一波分析,我眉头一皱,发现事情没这么简单。在这个样本里竟然隐藏着如此秘密,看来从网上下载时一定要小心谨慎,以防电脑中毒,后悔不及。
参考链接
https://s.threatbook.cn/report/file/f8a62af57d83a408ea202d9455eb939acec5771753fd786de880f8a3cb5330a4/?env=win7_sp1_enx86_office2013&utm_campaign=analysis&utm_medium=tz&utm_source=Adconly&gio_link_id=noq5Nwok

xx.zip

13.12 KB, 下载次数: 48, 下载积分: 吾爱币 -1 CB

下雪壁纸

免费评分

参与人数 16吾爱币 +22 热心值 +14 收起 理由
饥渴的鲨鱼 + 1 + 1 热心回复!
bobbear + 1 + 1 谢谢@Thanks!
子五十 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
willkk + 1 + 1 谢谢@Thanks!
zhh4827 + 1 + 1 热心回复!
离人心上秋意浓 + 1 + 1 春风不度玉门关,最低也要一百三
hehanzhiwen + 1 为了0下载量,点赞!
vince991 + 1 + 1 热心回复!
开心糖 + 1 + 1 我很赞同!
金黄的香蕉丶 + 1 好诗好湿
Hmily + 6 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
梦入神机 + 1 + 1 用心讨论,共获提升!
夏雨微凉 + 2 + 1 还。。挺好听的
sunnylds7 + 1 + 1 热心回复!
he1231234 + 1 + 1 我很赞同!
_小白 + 1 + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| JustPlay 发表于 2018-7-23 09:24
ffffffff 发表于 2018-7-22 11:31
楼主能给讲解一下是怎么逆向的吗? 感觉自己进行逆向的时候很懵  找不到主函数。。。。。

推荐你看一本书,恶意代码分析实战,红皮的,写的挺简单的,可以先看一下
ffffffff 发表于 2018-7-24 20:37
JustPlay 发表于 2018-7-23 09:24
推荐你看一本书,恶意代码分析实战,红皮的,写的挺简单的,可以先看一下

好的 我看看 谢谢了!!!
xiaoq666 发表于 2018-7-17 11:12
he1231234 发表于 2018-7-17 11:53
支持楼主虽然我都看不懂
gtbyang 发表于 2018-7-17 12:47
楼主标题 引人不得不入
soyo136 发表于 2018-7-17 13:53
我想要那个下雪代码的背景动图,大神能分离出来吗
gxl090119 发表于 2018-7-17 14:14
支持楼主虽然我都看不懂
头像被屏蔽
awzs7758520 发表于 2018-7-17 14:16
提示: 作者被禁止或删除 内容自动屏蔽
头像被屏蔽
awzs7758520 发表于 2018-7-17 14:18
提示: 作者被禁止或删除 内容自动屏蔽
Caitingting 发表于 2018-7-17 14:48
我想把渣渣辉改成我家大幂幂。。。配爱的供养~
梦入神机 发表于 2018-7-17 15:03
期待再来一回
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 12:45

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表