-
-
[原创]仿冒官网的一个病毒浅析[水文]
-
发表于: 2024-12-21 16:38
-
偶然看到这么一条信息:
1 | https://any.run/report/bd735403f24bc9cef8e54d7ae5e827dcf6ccbfc1f8e7385ba3bd94f05f7628e5/6d6c44e8-81f9-47f3-8b20-695c0151ea1e |
其中涉及到的网址:25aK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Z5N6h3!0J5L8$3&6Y4i4K6u0W2N6$3!0J5K9#2)9J5c8R3`.`.;
看起来像是仿冒火绒的官网,浅析一下其中的样本。
下载的压缩包解压后是一个用Setup Factory制作成的安装包,详细信息如下:
使用Universal Extractor提取其中的文件;
其中“sysdiag-all-x64-6.0.2.3-2024.09.30.1.exe”是火绒正常的安装程序;“SSD-ww.msi”是加塞的恶意文件,其相关信息如下:
运行从“SSD-ww.msi”中提取的“ddd.exe”,会生成如下文件:
看着像白加黑,那么接下来就分析“HttpDownloader.dll”;
罪魁祸首函数如下:
先找到加密后的shellcode的存放位置;
然后读到内存中;
解密出来的shellcode是一个加了UPX壳的dll(后门);
原始OEP:
后续不再赘述,看字符串也能看出个大概;
1 | 上面的图片好像看不清,原始图片放这里了:https://wwvb.lanzout.com/ivSga2j0loah |
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
最后于 2024-12-25 20:20
被ShredderXP编辑
,原因: 更新图片(更清晰)
|
|
|---|---|
|
|
|
|
|
|
|
|
人家火绒官方不是放了 假的火绒官方链接吗 去假的链接里 下载就好了 |
