病毒分析丨plubx

最新推荐文章于 2024-07-19 15:37:32 发布
最新推荐文章于 2024-07-19 15:37:32 发布
阅读量77 收藏
点赞数
分类专栏: 渗透 文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jmm18363027827/article/details/131504007
版权

一、基本信息

文件名称
00fbfaf36114d3ff9e2c43885341f1c02fade82b49d1cf451bc756d992c84b06
文件格式
RAR
文件类型(Magic)
RAR archive data, v5
文件大小
157.74KB
SHA256
00fbfaf36114d3ff9e2c43885341f1c02fade82b49d1cf451bc756d992c84b06
SHA1
1c251974b2e6f110d96af5b23ad036954ba15e4e
MD5
c1c9624b21f71e4565b941a37db3815a
CRC32
59832D3D
SSDEEP
3072:c8BHz/pBz9AycS0lEm2DchuhmE62duNkKa2W75u57cXehC9v:cgz/pnUS5chuHfu/aTI4Xeha
TLSH
T1A8F323A63B4FFB50C74C35A6EC2B4D09068B929D14CBB6093F14C7722F5A0667D1BB92
Tags
rar,contains_pe

二、环境准备

系统版本

Win7x86SP1

三、动态分析

用火绒剑观察一下:
图1:

图2:

 

图3:

图4

 

可以看到主要是释放了三个资源,一个自身exe,一个dat文件,一个dll。随后就是设置自启动,进行网络链接,进行释放模块的一个加载。

四、静态分析

exe没有什么东西,很简单一个加载dll,然后调用run函数:

分析dll,直接搜索run,找到run跟进去到了sub_10001BF0:

接下来是一部分代码注释:

 

 

最后return的函数里面是一个virtualproject。
我们动态抠出解密文档,调试exe,跟进run,在申请空间那里下断点:

完事直接在数据那里找到解密数据,是一个pe文件:

抠出来,放入010Editor生成文件,直接拖入ida,是一个dll文件,找到dllmain:

进入标记函数,一直跟进去,到了如下地方:

这里就是关键地方。
接下来有三个case,直接看注释:
case1:

这里就是关键地方。
接下来有三个case,直接看注释:
case1:

 

 

 

正在上传…重新上传取消 极安御信 举报

2023-05-25 11:08 10597

作者丨黑蛋

一、基本信息

文件名称
00fbfaf36114d3ff9e2c43885341f1c02fade82b49d1cf451bc756d992c84b06
文件格式
RAR
文件类型(Magic)
RAR archive data, v5
文件大小
157.74KB
SHA256
00fbfaf36114d3ff9e2c43885341f1c02fade82b49d1cf451bc756d992c84b06
SHA1
1c251974b2e6f110d96af5b23ad036954ba15e4e
MD5
c1c9624b21f71e4565b941a37db3815a
CRC32
59832D3D
SSDEEP
3072:c8BHz/pBz9AycS0lEm2DchuhmE62duNkKa2W75u57cXehC9v:cgz/pnUS5chuHfu/aTI4Xeha
TLSH
T1A8F323A63B4FFB50C74C35A6EC2B4D09068B929D14CBB6093F14C7722F5A0667D1BB92
Tags
rar,contains_pe

二、环境准备

系统版本

Win7x86SP1

三、动态分析

用火绒剑观察一下:
图1:

图2:

图3:

图4

可以看到主要是释放了三个资源,一个自身exe,一个dat文件,一个dll。随后就是设置自启动,进行网络链接,进行释放模块的一个加载。

四、静态分析

exe没有什么东西,很简单一个加载dll,然后调用run函数:

分析dll,直接搜索run,找到run跟进去到了sub_10001BF0:

接下来是一部分代码注释:

最后return的函数里面是一个virtualproject。
我们动态抠出解密文档,调试exe,跟进run,在申请空间那里下断点:

完事直接在数据那里找到解密数据,是一个pe文件:

抠出来,放入010Editor生成文件,直接拖入ida,是一个dll文件,找到dllmain:

进入标记函数,一直跟进去,到了如下地方:

这里就是关键地方。
接下来有三个case,直接看注释:
case1:


case2:


sub_100153A0():

 

case3:

五、总结

很简单的一次分析,基本所有函数都不需要自行猜测,都是通过GetProcAddress函数获取,所以没有太详细分析,修改了函数名。大概流程就是这样。

 

 

 

 

协议算法师
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
麻辣香锅病毒分析
不忘初心,护天下安全!
06-14 3829
Spicy Hot Pot浏览器劫持病毒(麻辣香锅病毒)从2020年初被安全公司监测到,因其病毒模块带有MLXG_KM被安全行业代称麻辣香锅病毒。目前通过各种激活工具传播, 包括暴风激活、小马激活和KMS激活等诸多工具,疑似与下载站进行合作推广此类激活工具。Spicy Hot Pot 是一个浏览器劫持 Rootkit,它会将用户的主页更改为指向恶意软件操作员控制的页面,此外还会将内存转储从机器上传到预定义的服务器,并结合本地更新功能以确保其保持更新。通常浏览器劫持者会通过更改用户主页的恶意可执行文件或注册表
病毒分析
bilibili的博客
11-14 7541
病毒分析
挖矿病毒分析
热门推荐
LiBai'S BLOG
03-10 1万+
病毒样本 分析样本 要求 确定二进制文件类型 给出钱包地址的 IOC 特征 文件类型:PE64 脱壳 upx.exe -d svhostd.jpg.virus 钱包地址的 IOC 特征 云沙箱自动分析
病毒分析常见速查
Snake_74的博客
06-30 2679
文章目录注册表父进程环境变量与对应路径宏病毒相关常用"宏"的名称隐蔽执行手段调用外部例程和命令执行宏病毒恶意行为常用字符 注册表 父进程 进程名 作用 路径 EQNEDT32 公式编辑器 C:\Program Files\Common Files\microsoft shared\EQUATION\EQNEDT32.EXE winword office办公软件 环境变量与...
骷髅头病毒分析报告
12-25
原创利用逆向分析工具IDAPro进行分析骷髅头病毒感染迹象以及特征码
Wannacry病毒分析报告.docx
08-23
Wannacry病毒分析报告 Wannacry病毒是一种恶意软件,于2017年五月爆发,感染了全球数十万台计算机,造成了严重的网络安全威胁。根据本报告,Wannacry病毒分析结果如下: 样本概况 Wannacry病毒的样本信息包括...
典型病毒分析
01-18
【标题】:“典型病毒分析” 在信息技术领域,网络病毒是一个重要的议题,因为它对个人和企业的数据安全构成严重威胁。深入理解网络病毒的本质、工作原理以及如何进行分析是防范和应对这些威胁的关键步骤。 网络...
xiongmao-病毒分析报告.docx
08-23
xiongmao 病毒分析报告 以下是根据给定文件生成的相关知识点: 病毒分析报告 病毒分析报告是信息安全领域中的一种重要报告,旨在对恶意软件进行深入分析,了解其行为、特征和危害,以便更好地防御和清除病毒。 ...
全新UI自助图文打印系统小程序源码/自助云打印机前后端源码
12年全栈程序开发
07-17 228
这些服务覆盖了多种文件格式,包括文档、图片、表格等。除此之外,系统还集成了额外的特色功能,如美颜、换装以及文档打印等,以满足用户的不同需求。管理员可进管理后台对打印机进行管理。最新的自助图文打印系统和证件照云打印小程序源码采用了PHP作为后端开发语言,旨在为用户提供全面的自助打印服务。
小欧吃苹果-OPPO 2024届校招正式批笔试题-数据开发(C卷)
sigd的博客
07-16 500
小欧吃苹果,拓扑排序处理贪心问题。
释放Laravel Blade的威力:掌握Laravel的模板引擎
2401_85812026的博客
07-16 1292
Blade是Laravel的内置模板引擎,它让你的前端代码更加简洁、易读。Blade视图文件通常以.blade.php为扩展名,支持直接在视图文件中使用PHP代码。
PHP基础语法
红客网络编程与渗透技术
07-15 264
下面,我们提供了一个简单的 PHP 文件实例,它可以向浏览器输出文本 "Hello World!PHP 中的每个代码行都必须以分号结束。分号是一种分隔符,用于把指令集区分开来。通过 PHP,有两种在浏览器输出文本的基础指令:echo 和 print。PHP 脚本在服务器上执行,然后将纯 HTML 结果发送回浏览器。PHP 文件通常包含 HTML 标签和一些 PHP 脚本代码。PHP 脚本以
PHP小课堂】学习PHP中的字符串操作函数(三)
硬核项目经理
07-15 786
学习PHP中的字符串操作函数(三)继续我们的 PHP 中字符串函数的学习之旅。今天我们要学习的内容是除了 str_ 和 str 开头之外的其它函数,这些函数也有很多非常好玩的内容,让我们赶快进入主题吧。分隔、打断字符串关于这个分割字符串并成为数组,或者是反过来的将数组组合成字符串的功能来说,implode() 和 explode() 这两个函数真的是出镜率非常的高。所以它们的使用也不用我多做介绍了...
php 实现栈
huanghm88的专栏
07-16 342
可以根据需要使用这些方法来操作栈。类,其中包含了入栈()和判断栈是否为空(
ns3-gym入门(三):在opengym基础上实现一个小小的demo
zoe2222226666的博客
07-15 430
因为官方给的"opengym""opengym-2"这两个例子都很简单,所以自己改了一个demo,把reward-action-state相互影响的关系表现出来
如何轻松将Squarespace网站迁移到WordPress
web_geek的博客
07-18 860
但是它也有一些缺点,Squarespace是一个封闭系统的CMS,对于初学者来说它是一个非常不错的一体化建站方案,但是随着网站的发展,用户的选择也会随之受限,例如,无法选择服务器提供商,也无法使用一些第三方的工具,相对于WordPress这种开源程序来说,局限性比较大,当您有了一定的网站运营基础或者想要更加自由的对网站添加自己的设计元素的时候,WordPress就会成为更好的选择。但是,正如开头所说,会有部分内容无法直接转移过来,例如,你可能会在之前有音频或产品模块的位置看到空白或错误信息。
如何在Java、Python、PHP中使用短信通知API?
最新发布
Mtxxd的博客
07-19 615
短信通知API是一种用于发送及时通知信息的工具,通过稳定的短信通道,实现开发者向用户传递重要信息的目的。其特点包括即时性、可靠性、定制性等,适用于各行业的订单通知、账户提醒、活动通告等场景。使用时需注意合法性验证、隐私保护、短信内容定制等方面,以提供安全、合规、高效的通知服务,提升用户体验。
手动清除Sircam病毒步骤与防范宏病毒措施
本文主要探讨的是Sircam病毒的手动清除方法,这是一种特定的恶意软件,会对计算机系统造成危害。Sircam病毒的特征包括将自身文件Sircam.sys隐藏在回收站中,干扰用户操作。清除步骤涉及清空回收站,以及在DOS模式下...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值