前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >一次对带病毒软件的分析

一次对带病毒软件的分析

作者头像
Y5neKO
发布2022-01-13 13:19:07
1.4K1
发布2022-01-13 13:19:07
举报
文章被收录于专栏:Y5neKO博客

昨天在某葫芦侠看到实用软件版块有一个youtube视频下载器,正好需要我就去整了一个拿来用,下载下来打开提示有病毒,我寻思多半又是nt安全软件瞎报,就随手点了信任,然后再次打开,打开速度有点迟缓但是没有异常,但是无法正常解析youtube视频,我也就只骂了句垃圾软件然后就没管它了,谁知道今天打开电脑一看cpu爆满,好家伙搞到我头上来了 这怎么能忍?撸起袖子就干!

软件下载下来打开,确实正常打开了youtube下载器,然后查看进程,发现名为 TemporaryFile的进程

打开火绒剑分析,发现是由 youtube解析.exe进程调用的,但是找不到这个进程

关闭所有相关进程,再次添加到信任区,点击运行,被杀软拦截,发现在 Appdata/roaming目录下生成了 youtube解析.exe文件

找不到 youtube解析.exe是因为该进程不会直接运行,运行后会转移并在windows缓存目录下,以 TemporaryFile命名并运行,通过Everything搜多文件名可以找到位置,加上exe后缀可还原

拿到样本了我们直接开始分析(通过近乎为0的知识)

首先通过PEiD分析发现是32位程序,并且没有加壳,看来这位老哥也不是很有经验

既然没加壳倒是省了我们一步,打开IDA进行静态分析,经过一番搜索发现了这些

首先发现了一段http请求的信息

然后发现了邮件数据包的头部信息,从这些信息可以大致分析出发送的内容,应该是盗取的什么文件

接下来通过 Ollydbg和 ProcessMonitor配合,详细分析程序行为

通过对程序行为的分析,发现存在注册表读写以及文件读写行为,并且存在TCP连接,应该是与服务器存在数据交互

将拿到的ip进行查询发现是一台搭载Windows的阿里云服务器

Nmap扫描端口,发现开放了http、smtp以及pop3服务,与之前分析得到的http数据包和邮件数据包相对应,3389端口也开着

既然拿到他的服务器IP了,我也没把IP打码,相信兄弟萌该干嘛不用我多说了 顺带一提,刚刚在葫芦侠里面看了一下发帖子的人的其他帖子,发现他所有的原创软件里面都有这个病毒,还恬不知耻的删评论然后我就。。。

本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
原始发表:2020年11月18日,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 作者个人站点/博客 前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
云服务器
云服务器(Cloud Virtual Machine,CVM)提供安全可靠的弹性计算服务。 您可以实时扩展或缩减计算资源,适应变化的业务需求,并只需按实际使用的资源计费。使用 CVM 可以极大降低您的软硬件采购成本,简化 IT 运维工作。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档