样本

显示全部楼层 · 发表于 2021-12-20 00:07:23

本帖最后由 a27573 于 2021-12-20 00:09 编辑

一大堆两次编码的base64，解出来是一些url和文件路径

水平不够，不分析了，反正确实不是什么好东西就对了
@Eset小粉絲

显示全部楼层 · 发表于 2021-12-20 00:12:13

a27573 发表于 2021-12-20 00:07
一大堆两次编码的base64，解出来是一些url和文件路径

水平不够，不分析了，反正确实不是什么好东西 ...

好家伙...为啥虚拟机跑不出来这些行为

显示全部楼层 · 发表于 2021-12-20 00:14:00

本帖最后由 a27573 于 2021-12-20 00:15 编辑

vaedzy 发表于 2021-12-20 00:12
好家伙...为啥虚拟机跑不出来这些行为

估计是比较强的反虚拟机
连微步都能骗过

微步显示读取了计算机名称，也可能是条件炸弹

显示全部楼层 · 发表于 2021-12-20 00:18:09

a27573 发表于 2021-12-20 00:14
估计是比较强的反虚拟机
连微步都能骗过

我还以为就是关闭网卡我擦冤枉这东西了

显示全部楼层 · 发表于 2021-12-20 00:21:14

本帖最后由 a27573 于 2021-12-20 00:23 编辑

vaedzy 发表于 2021-12-20 00:18
我还以为就是关闭网卡我擦冤枉这东西了

还有手动加载dll进行调用
也是绕过分析和监控的常用手法（当然也可能是编译器自动生成的）

显示全部楼层 · 发表于 2021-12-20 00:31:19

a27573 发表于 2021-12-20 00:21
还有手动加载dll进行调用
也是绕过分析和监控的常用手法（当然也可能是编译器自动生成的）

虚拟机到现在还在启动貌似就一次关闭网卡然后这个货就消失了就再也看不到他了全盘扫描了也没啥东西难道这东西反虚拟机？

显示全部楼层 · 发表于 2021-12-20 00:35:27

本帖最后由 a27573 于 2021-12-20 00:47 编辑

vaedzy 发表于 2021-12-20 00:31
虚拟机到现在还在启动貌似就一次关闭网卡然后这个货就消失了就再也看不到他了全盘扫描了也没啥东西 ...

我前面已经列举了几种可能性了（反虚拟机、条件炸弹）

还有，这个样本的很多东西都和异常处理有关，我不太看得懂。。。
如果真想搞清楚，大概得动态调试（但是它也检测调试器。。。麻烦。。。

）然后手动patch让它跑出行为来

更新：也有可能是Rootkit，稍微强力一些的Rootkit加载后完全可以让杀毒软件变成睁眼瞎

显示全部楼层 · 发表于 2021-12-20 18:39:24

那有人敢实机测试双击吗,感觉这样本好像有点牛逼不单纯是禁用网络那么简单吧

显示全部楼层 · 发表于 2021-12-20 22:15:00

楼上的我服了

你看行为双击一下没反应文件就没问题了？后门病毒远控病毒下载者木马蠕虫感染型双击基本上都是没有反应的，真以为勒索病毒啊，双击没反应=没毒？

你最起码开个ARK工具，用用火绒剑吧。你临时目录也不看，网络行为也不监控，最多就是看他了个窗口，你实际跑出来的行为你什么都不知道

这玩意有联网行为，会下载http://106.110.28.60:27969/04（挂了），会访问216.83.45.140:49780（挂了），应该是个下载者木马，下载的东西全部都保存在%USERPROFILE%（用户路径）的子目录的里面
样本好像有自我删除（通过cmd来执行的）。单是看这个执行逻辑，你就知道这个肯定不是什么好的东西的

断网好像是调用这个驱动的C:\Windows\System32\drivers\netvsc.sys

[病毒样本] 样本

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块