吾爱破解原创发布区高亮的命令行加密工具。

显示全部楼层 · 发表于 2022-6-9 10:32:14

本帖最后由北欧于 2022-6-9 12:06 编辑

原帖地址：【新提醒】命令行文件加密工具eCryptor V1.0 by FastCoder 【0604编译第1版】 - 『原创发布区』 - 吾爱破解 - LCG - LSG |安卓破解|病毒分析|

virustotal查询结果：VirusTotal - File - 1915f9e08b3e75e2baa284833d3c4ec296d33d6414f48356c4268a1d4514fa15

我的分析：

1.PECompact V2.X 加壳

2.win10环境下执行 eCryptor.exe 后触发 wuapihost.exe 程序自动执行，因此有4个联网行为：

a83f:8110:0:0:2000:0:0:0:53 (UDP)

20.99.132.105:443 (TCP)

23.216.147.76:443 (TCP)

20.80.129.13:443 (TCP)

wuapihost.exe 具体负责什么不知道，微软也没公布，只知道是与 windows 更新有关。

3.RWX 内存创建 739eb3b48a56144ab4ca2e4b37f3cf8ee9818a566.exe 一个子进程，PPID 2720。

4.http 请求一个域名：http://www.aieov.com/ IP：104.200.22.130:80，此站点无法访问。

5.链接路径2个：

Path: /setup.exe

Path: /logo.gif

6.有网络活动，但没有在API日志中表达出来，类似于规避的手法。

以上。

可能并非是恶意程序，欢迎楼下继续分析。

显示全部楼层 · 发表于 2022-6-9 10:36:34

基于易语言
卡巴miss，正常，易语言呀

显示全部楼层 · 发表于 2022-6-9 10:52:27

ESET LiveGuard 安全

显示全部楼层 · 发表于 2022-6-9 10:53:51

显示全部楼层 · 发表于 2022-6-9 10:54:47

360云查杀引擎下载保护拦截

显示全部楼层 · 发表于 2022-6-9 11:00:29

zqs123456 发表于 2022-6-9 10:54
360云查杀引擎下载保护拦截

感觉像无脑杀，因为MITRE ATT&CK好像就检查出来一个反逆向加壳，可能也就是基于这个杀的

显示全部楼层 · 发表于 2022-6-9 11:02:32

zqs123456 发表于 2022-6-9 11:00
感觉像无脑杀，因为MITRE ATT&CK好像就检查出来一个反逆向加壳，可能也就是基于这个杀的

易语言，不慌~

显示全部楼层 · 发表于 2022-6-9 11:06:10

红伞APC

显示全部楼层 · 发表于 2022-6-9 11:40:14

本帖最后由 Kingbatsoft 于 2022-6-9 11:44 编辑

wuapihost.exe联网行为的那几个IP都属于微软官方域名下的，应该是更新服务吧...
aieov那个域名目前没有被注册，目前被namefind接管（话说那个域名居然卖2999刀...

显示全部楼层 · 发表于 2022-6-9 11:59:07

本帖最后由北欧于 2022-6-9 12:00 编辑

Kingbatsoft 发表于 2022-6-9 11:40
wuapihost.exe联网行为的那几个IP都属于微软官方域名下的，应该是更新服务吧...
aieov那个域名目前没有被 ...

对，我查询的时候也看到 aieov.com 正在出售。反正 com 的都很贵。

[可疑文件] 吾爱破解原创发布区高亮的命令行加密工具。