昨天在某葫芦侠看到实用软件版块有一个youtube视频下载器,正好需要我就去整了一个拿来用,下载下来打开提示有病毒,我寻思多半又是nt安全软件瞎报,就随手点了信任,然后再次打开,打开速度有点迟缓但是没有异常,但是无法正常解析youtube视频,我也就只骂了句垃圾软件然后就没管它了,谁知道今天打开电脑一看cpu爆满,好家伙搞到我头上来了 这怎么能忍?撸起袖子就干!
软件下载下来打开,确实正常打开了youtube下载器,然后查看进程,发现名为 TemporaryFile的进程
打开火绒剑分析,发现是由 youtube解析.exe进程调用的,但是找不到这个进程
关闭所有相关进程,再次添加到信任区,点击运行,被杀软拦截,发现在 Appdata/roaming目录下生成了 youtube解析.exe文件
找不到 youtube解析.exe是因为该进程不会直接运行,运行后会转移并在windows缓存目录下,以 TemporaryFile命名并运行,通过Everything搜多文件名可以找到位置,加上exe后缀可还原
拿到样本了我们直接开始分析(通过近乎为0的知识)
首先通过PEiD分析发现是32位程序,并且没有加壳,看来这位老哥也不是很有经验
既然没加壳倒是省了我们一步,打开IDA进行静态分析,经过一番搜索发现了这些
首先发现了一段http请求的信息
然后发现了邮件数据包的头部信息,从这些信息可以大致分析出发送的内容,应该是盗取的什么文件
接下来通过 Ollydbg和 ProcessMonitor配合,详细分析程序行为
通过对程序行为的分析,发现存在注册表读写以及文件读写行为,并且存在TCP连接,应该是与服务器存在数据交互
将拿到的ip进行查询发现是一台搭载Windows的阿里云服务器
Nmap扫描端口,发现开放了http、smtp以及pop3服务,与之前分析得到的http数据包和邮件数据包相对应,3389端口也开着
既然拿到他的服务器IP了,我也没把IP打码,相信兄弟萌该干嘛不用我多说了 顺带一提,刚刚在葫芦侠里面看了一下发帖子的人的其他帖子,发现他所有的原创软件里面都有这个病毒,还恬不知耻的删评论然后我就。。。