甜椒刷机助手？！

janie

因为最近手机出了问题，就想刷机试着解决，在朋友的推荐下我使用了甜椒刷机助手，，，下下来就被各种杀软查杀
我传到了腾讯哈勃分析系统中，居然是高度风险？！

1. 基本信息
   
2. 文件名称：       
   
3. tianjiao.exe
   
4. MD5：        b31d2160678777f6029da28df7b63f7a
   
5. 文件类型：        EXE
   
6. 上传时间：        2018-02-11 17:26:59
   
7. 出品公司：        深圳市网卓信息科技有限公司
   
8. 版本：        3.6.0.3---3.6.0.3
   
9. 壳或编译器信息：        PACKER:UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo [Overlay]
   
10. 子文件信息：       
    
11. upx_c_d76838aedumpFile /  80633a6961d8565ddb20cdab96564195 /  EXE
    
12. 关键行为
    
13. 行为描述：        直接获取CPU时钟
    
14. 详情信息：       
    
15. EAX = 0x5cf95fd2, EDX = 0x000000b8
    
16. EAX = 0x82ee84b1, EDX = 0x000000b8
    
17. 行为描述：        获取TickCount值
    
18. 详情信息：       
    
19. TickCount = 221675, SleepMilliseconds = 50.
    
20. TickCount = 221800, SleepMilliseconds = 50.
    
21. TickCount = 221831, SleepMilliseconds = 50.
    
22. TickCount = 221893, SleepMilliseconds = 50.
    
23. TickCount = 282171, SleepMilliseconds = 60000.
    
24. TickCount = 282187, SleepMilliseconds = 60000.
    
25. TickCount = 291578, SleepMilliseconds = 60000.
    
26. TickCount = 291593, SleepMilliseconds = 60000.
    
27. TickCount = 292765, SleepMilliseconds = 60000.
    
28. TickCount = 292781, SleepMilliseconds = 60000.
    
29. TickCount = 292812, SleepMilliseconds = 60000.
    
30. TickCount = 305109, SleepMilliseconds = 60000.
    
31. TickCount = 305125, SleepMilliseconds = 60000.
    
32. 进程行为
    
33. 行为描述：        创建本地线程
    
34. 详情信息：       
    
35. TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 2868, ThreadID = 2940, StartAddress = 77DC845A, Parameter = 00000000
    
36. TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 2868, ThreadID = 2996, StartAddress = 008F28CD, Parameter = 0139A668
    
37. TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 2868, ThreadID = 3000, StartAddress = 008F28CD, Parameter = 0139A888
    
38. TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 2868, ThreadID = 3004, StartAddress = 008F28CD, Parameter = 013894B8
    
39. TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 2868, ThreadID = 3012, StartAddress = 77E56C7D, Parameter = 001AA940
    
40. TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 2868, ThreadID = 3016, StartAddress = 769AE43B, Parameter = 001AD2E0
    
41. TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 2868, ThreadID = 3020, StartAddress = 719CD33A, Parameter = 001AF680
    
42. TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 2868, ThreadID = 3024, StartAddress = 76B2AEAF, Parameter = 00000000
    
43. 文件行为
    
44. 行为描述：        创建文件
    
45. 详情信息：       
    
46. C:\Documents and Settings\Administrator\My Documents\onekeyrom\config\config.ini
    
47. 行为描述：        修改文件内容
    
48. 详情信息：       
    
49. C:\Documents and Settings\Administrator\My Documents\onekeyrom\config\config.ini ---> Offset = 0
    
50. C:\Documents and Settings\Administrator\My Documents\onekeyrom\config\config.ini ---> Offset = 51
    
51. 网络行为
    
52. 行为描述：        建立到一个指定的套接字连接
    
53. 详情信息：       
    
54. URL: we****om, IP: **.133.40.**:80, SOCKET = 0x0000037c
    
55. URL: we****om, IP: **.133.40.**:80, SOCKET = 0x0000038c
    
56. 行为描述：        按名称获取主机地址
    
57. 详情信息：       
    
58. GetAddrInfoW: we****om
    
59. 注册表行为
    
60. 行为描述：        修改注册表
    
61. 详情信息：       
    
62. \REGISTRY\USER\S-*\Software\OneKeyRom\ONKEYROM
    
63. \REGISTRY\MACHINE\SOFTWARE\Microsoft\ESENT\Process\996E\DEBUG\Trace Level
    
64. \REGISTRY\USER\S-*\Software\OneKeyRom\MacAddr
    
65. 行为描述：        删除注册表键值
    
66. 详情信息：       
    
67. \REGISTRY\MACHINE\SOFTWARE\Microsoft\ESENT\Process\996E\DEBUG\Trace Level
    
68. 其他行为
    
69. 行为描述：        创建互斥体
    
70. 详情信息：       
    
71. CTF.LBES.MutexDefaultS-*
    
72. CTF.Compart.MutexDefaultS-*
    
73. CTF.Asm.MutexDefaultS-*
    
74. CTF.Layouts.MutexDefaultS-*
    
75. CTF.TMD.MutexDefaultS-*
    
76. CTF.TimListCache.FMPDefaultS-*MUTEX.DefaultS-*
    
77. RasPbFile
    
78. MSCTF.Shared.MUTEX.IOH
    
79. MSCTF.Shared.MUTEX.IDL
    
80. 行为描述：        创建事件对象
    
81. 详情信息：       
    
82. EventName = DINPUTWINMM
    
83. EventName = Global\crypt32LogoffEvent
    
84. EventName = MSCTF.SendReceive.Event.IDL.IC
    
85. EventName = MSCTF.SendReceiveConection.Event.IDL.IC
    
86. 行为描述：        打开互斥体
    
87. 详情信息：       
    
88. ShimCacheMutex
    
89. DBWinMutex
    
90. RasPbFile
    
91. 行为描述：        查找指定窗口
    
92. 详情信息：       
    
93. NtUserFindWindowEx: [Class,Window] = [Shell_TrayWnd,]
    
94. NtUserFindWindowEx: [Class,Window] = [CicLoaderWndClass,]
    
95. 行为描述：        窗口信息
    
96. 详情信息：       
    
97. Pid = 2868, Hwnd=0x10344, Text = 甜椒安装向导, ClassName = QWidget.
    
98. 行为描述：        获取TickCount值
    
99. 详情信息：       
    
100. TickCount = 221675, SleepMilliseconds = 50.
     
101. TickCount = 221800, SleepMilliseconds = 50.
     
102. TickCount = 221831, SleepMilliseconds = 50.
     
103. TickCount = 221893, SleepMilliseconds = 50.
     
104. TickCount = 282171, SleepMilliseconds = 60000.
     
105. TickCount = 282187, SleepMilliseconds = 60000.
     
106. TickCount = 291578, SleepMilliseconds = 60000.
     
107. TickCount = 291593, SleepMilliseconds = 60000.
     
108. TickCount = 292765, SleepMilliseconds = 60000.
     
109. TickCount = 292781, SleepMilliseconds = 60000.
     
110. TickCount = 292812, SleepMilliseconds = 60000.
     
111. TickCount = 305109, SleepMilliseconds = 60000.
     
112. TickCount = 305125, SleepMilliseconds = 60000.
     
113. 行为描述：        打开事件
     
114. 详情信息：       
     
115. HookSwitchHookEnabledEvent
     
116. Global\crypt32LogoffEvent
     
117. MSFT.VSA.COM.DISABLE.2868
     
118. MSFT.VSA.IEC.STATUS.6c736db0
     
119. CTF.ThreadMIConnectionEvent.000007E8.00000000.0000000F
     
120. CTF.ThreadMarshalInterfaceEvent.000007E8.00000000.0000000F
     
121. MSCTF.SendReceiveConection.Event.IOH.IC
     
122. MSCTF.SendReceive.Event.IOH.IC
     
123. 行为描述：        调用Sleep函数
     
124. 详情信息：       
     
125. [1]: MilliSeconds = 50.
     
126. [2]: MilliSeconds = 50.
     
127. [3]: MilliSeconds = 60000.
     
128. [4]: MilliSeconds = 0.
     
129. 行为描述：        隐藏指定窗口
     
130. 详情信息：       
     
131. [Window,Class] = [甜椒安装向导,QWidget]
     
132. 行为描述：        直接获取CPU时钟
     
133. 详情信息：       
     
134. EAX = 0x5cf95fd2, EDX = 0x000000b8
     
135. EAX = 0x82ee84b1, EDX = 0x000000b8
     
136. 进程树
     
137. ****.exe (PID: 0x00000b34)
     

复制代码

源文件请到甜椒官网上去下载！

王国之心00

早就被曝光了，这可是mbr病毒

安全守护者

2 个检测引擎检测到此文件

SHA-256	a84ada875726ef839e3be338fd40a2899178c86096ea9e36912ab14d5631dab4
文件名	tianjiao.exe
文件大小	16.12 MB
上次分析时间	2017-10-25 15:41:02 UTC

安全守护者

王国之心00 发表于 2018-2-11 19:04
早就被曝光了，这可是mbr病毒

VT=2
待会儿我虚拟机加PEDOLL一下

2605276004x

https://www.virustotal.com/#/fil ... d5631dab4/detection

安全守护者

1. 执行：加载库文件：C:\Windows\system32\uxtheme.dll
   
2. 执行：加载库文件：C:\Windows\system32\uxtheme.dll
   
3. 执行：加载库文件：C:\Windows\system32\uxtheme.dll
   
4. 执行：加载库文件：C:\Windows\system32\uxtheme.dll
   
5. 执行：加载库文件：C:/Users/Administrator/Desktop/tianjiao.exe
   
6. 执行：加载库文件：C:/Users/Administrator/Desktop/tianjiao.exe
   
7. 执行：加载库文件：C:/Users/Administrator/Desktop/tianjiao.exe
   
8. 执行：加载库文件：C:/Users/Administrator/Desktop/tianjiao.exe
   
9. 执行:创建 文件:\\?\C:\Users\Administrator\Documents\onekeyrom\config\config.ini
   
10. 执行:打开 文件:\\?\C:\Users\Administrator\Documents\onekeyrom\config\config.ini
    
11. 执行:创建 文件:\\.\Nsi
    
12. 执行:创建 文件:\\?\C:\Users\Administrator\Desktop\config.ini
    
13. 执行:打开 文件:C:\Windows\system32\rsaenh.dll
    
14. 执行:创建 文件:\\?\C:\Users\Administrator\Desktop\config.ini
    
15. 执行:创建 文件:\\?\C:\Users\Administrator\Desktop\config.ini
    
16. 执行:创建 文件:\\?\C:\Users\Administrator\Desktop\config.ini
    
17. 数据已经Dump：大小 502
    
18. 数据已经Dump：大小 858
    
19. 数据已经Dump：大小 1267
    
20. 执行：加载库文件：C:\Windows\system32\MSCTF.dll
    
21. 执行:打开 文件:\\?\C:\Users\Administrator\Desktop\tianjiao.exe
    
22. 数据已经Dump：大小 822
    
23. 执行:打开 文件:\\?\C:\Users\Administrator\Desktop\tianjiao.exe
    
24. 执行:创建 文件:\\?\C:\Program Files\甜椒刷机助手\imageformats\qgif4.dll
    
25. 执行:打开 文件:\\?\C:\Program Files\甜椒刷机助手\imageformats\qgif4.dll
    
26. Dump数据包已跳过： 大小8192
    
27. 写文件:932
    
28. 执行:创建 文件:\\?\C:\Program Files\甜椒刷机助手\imageformats\qjpeg4.dll
    
29. 执行:打开 文件:\\?\C:\Program Files\甜椒刷机助手\imageformats\qjpeg4.dll
    
30. Dump数据包已跳过： 大小8192
    
31. 数据已经Dump：大小 571
    
32. 数据已经Dump：大小 571
    
33. 监视程序已经断开连接

复制代码

安全守护者

王国之心00 发表于 2018-2-11 19:04
早就被曝光了，这可是mbr病毒

经查，似乎并没有修改MBR功能

王国之心00

安全守护者 发表于 2018-2-11 19:47
经查，似乎并没有修改MBR功能

近日，腾讯安全中心捕获了一个大范围传播的恶性Bootkit木马——“异鬼Ⅱ”，其通过知名刷机软件——“甜椒刷机”、“奇兔刷机”、“绿豆刷机”感染电脑VBR（卷引导记录），感染后使电脑沦为肉鸡，具有篡改浏览器主页、劫持导航网站、后台刷流量等恶意行为特点，即使用户重装系统，也无法清除！

2605276004x

王国之心00 发表于 2018-2-11 19:52
近日，腾讯安全中心捕获了一个大范围传播的恶性Bootkit木马——“异鬼Ⅱ”，其通过知名刷机软件——“甜 ...

vt中腾讯并没杀杀

安全守护者

王国之心00 发表于 2018-2-11 19:52
近日，腾讯安全中心捕获了一个大范围传播的恶性Bootkit木马——“异鬼Ⅱ”，其通过知名刷机软件——“甜 ...

看清楚

通过下载站高速下载器传播