[病毒样本] 7X

显示全部楼层 · 发表于 2024-3-28 22:47:04

DisaPDB 发表于 2024-3-28 15:33
看不了一点（）

解密之后的array由4D5A开头，是PE文件，然后code.exe会尝试通过内存加载该PE文件，如下图所示：

该PE文件的字节数有8191个，如下图所示：

然后在内存中把该PE文件的Hex都提取出来，如下图所示：

从中不难看出该PE文件也是由.NET编写，如下图所示：

然后通过Hex合成该PE文件，继续通过dnspy进行分析，原始文件名为testpro.dll，有Downloader行为，如下图所示：

显示全部楼层 · 发表于 2024-3-28 23:22:25

显示全部楼层 · 发表于 2024-3-29 00:02:54

drweb

Detected threats:
/media/jerry/TOSHIBA EXT/MalwareTest/Kafan/8x/更新.exe - infected with Trojan.DownLoader46.55811‌: Cure (Success)

复制代码

显示全部楼层 · 发表于 2024-3-29 00:21:09

BD精英版静态MISS
双击全部拦截，无法运行

显示全部楼层 · 发表于 2024-3-29 10:24:12

现在金山毒霸kill 5x
火绒kill 7x
360kill 7x

显示全部楼层 · 发表于 2024-3-29 11:43:21

瑞星kill 6x

显示全部楼层 · 发表于 2024-3-29 11:59:25

本帖最后由 DisaPDB 于 2024-3-29 13:46 编辑

wwwab 发表于 2024-3-28 22:47
解密之后的array由4D5A开头，是PE文件，然后code.exe会尝试通过内存加载该PE文件，如下图所示：

Base64编码的字符串转换成字节数组，循环操作，对于数组中的每个元素执行XOR
操作数是29，根据这个把Base64提出来写个脚本就行了，不需要动态
脚本我也贴出来了

显示全部楼层 · 发表于 2024-3-29 12:56:14

本帖最后由 scottxzt 于 2024-3-29 13:32 编辑

目前ESET剩余二个，zhe,exe  华林证券

zhe.exe 双击后云隔离

华林双击ESET miss  智量盾报  WIBD:HEUR.SHELLCODE.H00
智量盾是真有些可惜了

显示全部楼层 · 发表于 2024-3-29 13:42:42

swizzer 发表于 2024-3-28 18:25
DI all.

请问DeepInstinct的授权是哪里买的呀，我看官网上只有EDR

显示全部楼层 · 发表于 2024-3-29 17:31:06

DisaPDB 发表于 2024-3-29 11:59
Base64编码的字符串转换成字节数组，循环操作，对于数组中的每个元素执行XOR
操作数是29，根据这个把Bas ...

这不是给自己添麻烦嘛，一眼ChatGPT写的，而且还是.NET，需要单独另外写一个程序

现在很多样本也很难直接编辑，dnspy反编译出来的有偏差，直接编辑C#方法会报错

[病毒样本] 7X

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源