好友
阅读权限20
听众
最后登录1970-1-1
|
52lxw
发表于 2018-11-13 11:46
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
样本.rar
(178.14 KB, 下载次数: 38)
前辈已经分析过了:https://www.52pojie.cn/thread-624323-1-1.html,我跟着他的思路调试了一遍
先用exepeinfo看一下什么语言写的,什么壳
发现没加壳,delphi写的,拖入IDA找到TForm1Create函数
开始判断自己是不是javasc.exe文件,是的话就复制自己为sdafdf.exe并执行sdafdf.exe,然后自己退出
![CH$}0QPPAJ2{_5)0]T(CD`Y.png](https://attach.52pojie.cn/forum/201811/13/111433bc75s7r2pkb570zt.png "CH$}0QPPAJ2{_5)0]T(CD`Y.png")
判断是否存在GHO文件夹,不存在就创建一个
![V2B]HKMOW3~B33~MBZ3@K0H.png](https://attach.52pojie.cn/forum/201811/13/111701z5gc855znooc5mgc.png "V2B]HKMOW3~B33~MBZ3@K0H.png")
判断是否存在avb.exe文件,不存在就复制自己为javasc.exe,并且设置为服务,复制为avb.exe并且设置注册表Runonce键为自启动,然后主程序退出
![XFHB4I]TSPTLP4S)W0HP]RR.png](https://attach.52pojie.cn/forum/201811/13/112002jmqacm5nmh1qno5y.png "XFHB4I]TSPTLP4S)W0HP]RR.png")
判断程序是avb.exe,mscb.exe执行不同的动作
如果是avb.exe,就复制自己为mscb.exe,执行mscb.exe并且主程序退出
![9WX])$N2RYZ`XWSHH1ZL{6T.png](https://attach.52pojie.cn/forum/201811/13/114225saotagohhcaqissq.png "9WX])$N2RYZ`XWSHH1ZL{6T.png")
最后恶意代码都是在timer1,2,3,4里面执行的,主程序主要是复制自己,设置服务和自启动
|
免费评分
-
查看全部评分
|
[复制链接]
