这个是什么？过所有杀毒、会联网下载、自我删除、检测自身被调试

tdsskiller

书山压力大 发表于 2020-5-20 16:21
应该是白利用，里面的代码权限很高，
包括读写其他进程的内存，远程下载文件，
这个利用起来，感觉很舒服 ...

我不太确定啊，难道这玩意不检查他的父级调用和加载的dll对不对？？而且一个疑似下载器这么猛（下载就算了，读写其他进程就比较猛了）？

还有一件事情，我发现这个玩意是一个随机pdb，用意不明；而且签名的颁发机构对不对（有些玩意就是这么糊弄人）？

New_Start.

tdsskiller 发表于 2020-5-20 18:14
我不太确定啊，难道这玩意不检查他的父级调用和加载的dll对不对？？而且一个疑似下载器这么猛（下 ...

证书是对的，
是腾讯泄露的证书，论坛都有这个证书的私钥，我也曾拉来签过东西。
估计是泄露得太广了，吊销都不行，专门拉黑了，不过之前签过的东西还有很多的，所以这个东西是不是腾讯自己签名的还保留疑问？？

tdsskiller

New_Start. 发表于 2020-5-20 21:43
证书是对的，
是腾讯泄露的证书，论坛都有这个证书的私钥，我也曾拉来签过东西。
估计是泄露得太广了， ...

我感觉不太现实。。。TX也被漏了？？？但是里面的动作看起来好像是正常的，虽然网站很奇怪。。

New_Start.

tdsskiller 发表于 2020-5-21 13:38
我感觉不太现实。。。TX也被漏了？？？但是里面的动作看起来好像是正常的，虽然网站很奇怪。。

没错，就是漏的，这个证书签发了很多东西，我知道的就有一个版本的tim，轻聊版全是用这个证书签发的，导致之后看到这个版本里面的文件签名都是无效的，然后卡巴还是诺顿来着，当时显示几十万用户。。。。
更乌龙的是，这个东西漏的时候还以为是verisign2010这个CA漏了，结果系统先吊销这个。。。然后发现不对，现在才吊销的这个腾讯证书，好像还不是吊销这么简单咯，直接无效。

我重新确认了一下，这个文件就是这个泄露的证书签发的，序列号都一模一样，没得洗。
从这个证书就能看出来指望tx保护系统的安全是多么的不靠谱

tdsskiller

New_Start. 发表于 2020-5-21 19:09
没错，就是漏的，这个证书签发了很多东西，我知道的就有一个版本的tim，轻聊版全是用这个证书签发的，导 ...

WOC

AlphaRabbit

tdsskiller 发表于 2020-5-21 19:27
WOC

这玩意看上去像是白利用。
完整分析结果：https://www.hybrid-analysis.com/sample/0fa340a173f357b2d1cebb96c3ba063be9bbf276c6959a67c3b3fd8b003fb4ce/5ed73cd9e6b95139f93ce7da


在Hybrid Analysis上，这个程序命中了一条规则：

1. YARA signature "Codoso_PGV_PVID_1" classified file "all.bstring" as "apt,codoso" based on indicators: "Cookie: pgv_pvid=,{%08X-%04X-%04x-%02X%02X-%02X%02X%02X%02X%02X%02X}" (Reference: https://www.proofpoint.com/us/exploring-bergard-old-malware-new-tricks, Author: Florian Roth)

复制代码

关于这条规则，看这个新闻：http://www.ftchinese.com/story/001060596?full=y&archive

然后这个程序在向另一个叫做DRSwitch.exe的进程写入数据，意义不明。


网络行为倒是没什么，都是在向腾讯服务器请求。其中一个请求还从腾讯服务器下载了一个有腾讯数字签名的文件（详见）。

anonymous_anon

未扫到病毒