简单分析盗取比特币样本

pghuanghui · 发表于 2018-12-19 10:59

初次分析请各位大大多多关照，分析不到位的地方望请各位大大指教。

原帖：https://www.52pojie.cn/thread-840939-1-1.html

原始文件名：build.exeMD5：4C0D69A1393BB4DA77E37BCBA743356D
处理器框架:x32
文件大小：559 KB (572,416 字节)
文件格式：Borland Delphi 6.0 -7.0

样本行为:
1、注册delphi运行库

2、获取指定文件路径

3、在注册表中修改达到驻留效果

4、验证DNS是否有效

5、遍历进程

6、判断系统是否为64位

7、获取系统程序目录

8、调用函数解密用户密码

9、查询用户密码

10 、获取NSS和PK11的加密密钥(这里我也不太清楚)

11、查找链接比特币账户的信息

12、取得控制面板所有键值

13、获取磁盘容量

14、加载oleaut32.dll进行字符转换

15、开启通讯功能

16、将用户账户中的比特币转储到指定的比特币地址中，同时获取用户信息

吾爱小萌新233 · 发表于 2018-12-19 12:23

大神啊，看不懂，感谢分享

涛之雨 · 发表于 2018-12-19 11:21

可以可以。。。
分析得这么透彻
（就简直像是楼主自己做的。。。滑稽）
不过楼主这个分析病毒的能力是真的了得
—————————分界线—————————
不知道为什么突然想起来
那个世界上首个用易语言+微信、支付宝实名认证的账号二维码干勒索的那个牛人2333333
真的，从没想到过有这种勒索方式233333333
（让我单独笑一会2333333）

TOUCH · 发表于 2018-12-19 11:12

我擦，这玩的高端啊

sensMe · 发表于 2018-12-19 11:20

还好我买不起比特币，，，一点都不担心被盗

wbkasd · 发表于 2018-12-19 11:28

我还能说什么扣6啊都看着干嘛

||| · 发表于 2018-12-19 11:39

不怕啊。。没有这个东西

hhhxxx · 发表于 2018-12-19 11:48

太高级了

UC大法好 · 发表于 2018-12-19 11:48

大神啊，看不懂，感谢分享

瑞浩娱乐 · 发表于 2018-12-19 11:51

高级的过分了，战五渣表示看不懂

帐号		自动登录	找回密码
密码			注册[Register]

[PC样本分析] 简单分析盗取比特币样本

免费评分

浏览过的版块