记一次病毒样本分析……

wwwab

这个病毒并不会造成什么实质性影响就是吃cpu厉害

你是在开玩笑？？？

原始病毒样本文件“网吧获取最高权限.vmp.exe”的Ioc信息，为以下：
[mw_shl_code=asm,true]MD5        275b314466fd0c145ce5285cb1b8feb9SHA-1        f91f8bd7ad0cdc73037c6be3ba7b090bc1c48731
SHA-256        f075ca514cc2c0a83d65d18b4b1be5a3541ef793f9e8a14f9365e6558c394ca3[/mw_shl_code]
样本采用VMP加壳，是一个释放者Trojan-Droper和下载者Trojan-Downloader

运行以后，之后原始病毒样本文件“网吧获取最高权限.vmp.exe”就会释放以下文件：

QQ.exe：
[mw_shl_code=asm,true]MD5        27f9fd8584c45efbacb9dd3a01a992f8SHA-1        01ff50ebc21a4ab2430c670ceec6f8f922eaf97d
SHA-256        0bce0bda412f0efe65f259619111eedd7ce7e0fdd3935800abd910a6cdec116f MD5        27f9fd8584c45efbacb9dd3a01a992f8
SHA-1        01ff50ebc21a4ab2430c670ceec6f8f922eaf97d
SHA-256        0bce0bda412f0efe65f259619111eedd7ce7e0fdd3935800abd910a6cdec116f[/mw_shl_code]
该样本也是一个Trojan-Droper，
会释放另一个QQ.exe：

MD5        7e2158827b1f17fbaa3ae7b107b86b9b
SHA-1        693c41abc1310e341e663ebf71e23c11749e1d31
SHA-256        1d337abacbfd53d16dd8e6ff730b46c3537a09444807decd66a5e21a564f1441

另一个WB.exe：

MD5        f59f1adab001a396fd593e9a232d076c
SHA-1        a91e83dd155df75cd69752615fd1ccd5d8d8c3bb
SHA-256        423d12c3e5f6bdde530126fe6b5e0be68c1cb0aafc87892841d559e3aab46430

和一个疑似是用易语言遍写的Q.exe（部分查壳工具：Microsoft Visual C++）：

MD5        40442363fb3c0aa1bf6f1be6c317e456
SHA-1        83c6cc37c9a0b4158cf228d8ce18e8b9d48e7e1f
SHA-256        311101d63d6e643143d37cc2754490cf0c83c7f80a09b643bf878d0906da9bde

释放一堆疑似是盗号用的衍生物：

C:\Documents and Settings\Administrator\Application Data\$326929511
C:\Documents and Settings\Administrator\Application Data\QQ.exe
C:\Documents and Settings\Administrator\Application Data\判断WB版.exe
C:\Documents and Settings\Administrator\Application Data\$935555646
C:\Documents and Settings\Administrator\Application Data\Q马.exe

内存字符串当中有以下内容：

注册账号
按钮
自动登录
记住密码
找回密码
密码
QQ号码/手机/邮箱

11.exe：
[mw_shl_code=asm,true]MD5        702e3a502422787ca292ce8775149a63
SHA-1        62a19695218f8da5616b6b0c767d3ffcca35bfd6
SHA-256        1152772d63e253c0928ad6987625a4b3abcace9e83ee55fdbbdda5cda1b72b4e[/mw_shl_code]
疑似采用易语言编写，VMP进行加壳（部分查壳工具：Microsoft Visual C++）
会对QQ的安装目录进行遍历搜寻，会对QQ的运行进程进行远程线程注入，疑似来达到盗号的目的：
C:\Program Files\Tencent\QQ\Bin\QQ.exe
C:\Program Files\QQ\QQ.exe
疑似有Steam盗号模块：

Network Communication


HTTP Requests
http://106.53.127.184/u/k.php
http://steam6.top/u/k.php
http://steamli.top/u/k.php

DNS Resolutions
steam6.top
steamli.top

WB.exe：
[mw_shl_code=asm,true]MD5        f59f1adab001a396fd593e9a232d076c
SHA-1        a91e83dd155df75cd69752615fd1ccd5d8d8c3bb
SHA-256        423d12c3e5f6bdde530126fe6b5e0be68c1cb0aafc87892841d559e3aab46430[/mw_shl_code]
文件是由易语言编写的（部分查壳工具：Microsoft Visual C++），存在加载消息钩子的行为（而且还疑似是全局消息钩子）：

Highlighted Actions


Calls Highlighted


SetWindowsHookExW
GetTickCount

.exe：[mw_shl_code=asm,true]MD5        dcab662a8a7a9845776cc3070f759004SHA-1        feadb1f527d200812a4081b10a8a4577ede01d29
SHA-256        6e07c8432bdfc71270cab8f84cccea622549f960076ad7164cc344ea84176c3d[/mw_shl_code]
尝试读取steam密码：

Registry Actions


Registry Keys Opened

HKCU\Software\Valve\Steam


Registry Keys Set

Steam\RememberPassword

HKCU\Software\Valve\Steam\RememberPassword

上传发送来达成盗号的目的：

Network Communication


HTTP Requests
http://106.53.127.184/u/k.php
http://steam6.top/u/k.php
http://steamli.top/u/k.php

DNS Resolutions
steam6.top
steamli.top

疑似有消息钩子（而且还疑似是全局消息钩子）

Highlighted Actions


Calls Highlighted


SetWindowsHookExW
Sleep
GetTickCount
IsDebuggerPresent
GetSystemMetrics

vmp.exe：[mw_shl_code=asm,true]MD5        74537c34ba0d2af231f4d3894453eeb8SHA-1        7e0776d399d21352d79cb28516aa2aa42c2950dc
SHA-256        ffdc909b1af24a4b803527ce8bd13c1bda691f3f805cdad96f16125da3f3b3e4[/mw_shl_code]
内存字符串内容基本上为以下：

Highlighted Actions：


Highlighted Text

确定
软件请勿用于非法用途！仅供参考
信息：
9.30晚上凌晨3点，软件完工，等到白天我就打算发布，让大家在这个国庆节玩的开心，软件的破解原理在万象上可以说是一个bug，我不知道万象多久修复，保守估计一个星期肯定是没问题的，因为我也是在校大学生，这一次国庆节放假我们放4天，等到了读书那一天，软件被和谐的话那我也就没有办法给大家修复，只能等到下一次放假来在给你们修复，如果在我放假期间软件被修复，我会给大家第一时间发布新版本，大家且用且珍惜！使用之前务必看好使用教程！所造成的法律后果由本人承担！
软件打开之后 会自动检测服务器状态与端口是否正常  请勿在期间内进行输入卡号 必须得状态查询完成之后才可以点  软件如果可以干什么你都不知道 那赶快卸载 不适合你用  本软件相当于是跟网管后台相同 只需要在网吧的电脑下载此软件 就可以获取管理员权限 从而实现自助加钱 伪装卡号为身份证 需要填写当地身份证 乱编就行 千万不要乱写 这样不但会不成功 管理员后台也会报警 到时候后果自负 用户名字同理 预付款为充值的金额 请勿加太多 够玩就行了
使用教程
等待查询
管理员密码：
状态查询
COM3
端口：
打开软件自动检测
现金付款：
消费金额：
服务器状态：
支付方式：
客户模式：
本地交易号：
突破卡号
标签
获取当前时间
随机
自动获取
单机
现金支付
1小时=
收费标准：
点我开始上传数据
普通模式
按时计费
计费方式：
￥
优惠类型：
预付款：
开始时间：
临时用户
用户名字：
用户类型：
伪装卡号：
2021 万象管家伪装 完美破解版 Ver2.1.0.0 为上网而为生 截获数据包如下：385
123456
多机
网银支付
会员模式
按分时间
小时用户
已就绪
6Highlighted Actions：


Highlighted Text

确定
软件请勿用于非法用途！仅供参考
信息：
9.30晚上凌晨3点，软件完工，等到白天我就打算发布，让大家在这个国庆节玩的开心，软件的破解原理在万象上可以说是一个bug，我不知道万象多久修复，保守估计一个星期肯定是没问题的，因为我也是在校大学生，这一次国庆节放假我们放4天，等到了读书那一天，软件被和谐的话那我也就没有办法给大家修复，只能等到下一次放假来在给你们修复，如果在我放假期间软件被修复，我会给大家第一时间发布新版本，大家且用且珍惜！使用之前务必看好使用教程！所造成的法律后果由本人承担！
软件打开之后 会自动检测服务器状态与端口是否正常  请勿在期间内进行输入卡号 必须得状态查询完成之后才可以点  软件如果可以干什么你都不知道 那赶快卸载 不适合你用  本软件相当于是跟网管后台相同 只需要在网吧的电脑下载此软件 就可以获取管理员权限 从而实现自助加钱 伪装卡号为身份证 需要填写当地身份证 乱编就行 千万不要乱写 这样不但会不成功 管理员后台也会报警 到时候后果自负 用户名字同理 预付款为充值的金额 请勿加太多 够玩就行了
使用教程
等待查询
管理员密码：
状态查询
COM3
端口：
打开软件自动检测
现金付款：
消费金额：
服务器状态：
支付方式：
客户模式：
本地交易号：
突破卡号
标签
获取当前时间
随机
自动获取
单机
现金支付
1小时=
收费标准：
点我开始上传数据
普通模式
按时计费
计费方式：
￥
优惠类型：
预付款：
开始时间：
临时用户
用户名字：
用户类型：
伪装卡号：
2021 万象管家伪装 完美破解版 Ver2.1.0.0 为上网而为生 截获数据包如下：385
123456
多机
网银支付
会员模式
按分时间
小时用户
已就绪
6
56

而且，原始病毒样本文件“网吧获取最高权限.vmp.exe”还会从：

https://note.youdao.com/yws/api/personal/file/WEBb18378c23fa95dc3fdfed7f529d5d66f?method=download&shareKey=28cbadd532acc6f37a1d35e99c317384

来下载一个、并且释放一个名为“释放.exe”的exe可执行文件（该此下载地址到目前为止仍然有效着的呢的）：
[mw_shl_code=asm,true]MD5        9f6d2f5b2613b06defb366929c349c50
SHA-1        1675f9f2978c9c54b262992dab132ad5fe8efbd1[/mw_shl_code]文件是由易语言编写的（部分查壳工具：Microsoft Visual C++），是ShadowBrokers黑客工具，漏洞利用攻击程序的集合，运行后会释放：永恒浪漫、永恒之蓝、Doublepulsar等漏洞利用攻击程序，危害还是算是比较大的


注意事项：
1.本文最初起初初次是在吾爱破解论坛的某一个帖子的评论回复区发表的，所以复制的时候可能有存在概率会出现格式或者编码和编辑器代码上面的问题，这是正常的情况和现象。请见谅~勉强就这样看看的吧
2.原始病毒样本文件“网吧获取最高权限.vmp.exe”的病毒样本下载链接为：https://wwr.lanzoui.com/iMD2Qwptp0b，提取码为：57bb，解压密码为：52pojie（“卡饭论坛”的“病毒样本 分享&分析区样本区”，又简称“病毒样本区”，之前应该都已经发过了吧）

病毒样本收集者

卡巴斯基kill

qqq11245

BEST kill
实时防护检测到威胁。该文件已被删除。C:\Users\dddd\Desktop\病毒在此，请不要在真实环境打开\病毒本体.exe.vir 是恶意软件 Gen:Heur.Mint.Porcupine.@tZ@ba1sJ@mbg

ANY.LNK

MS Defender：目前报告为Trojan:Win32/Sabsik.FL.B!ml

aboringman

360：

xiaobao233

火绒kill

正在缓冲

Avast
Win32:Trojan-gen

白崎桑

救命稻草

这BD引擎一串字符串