又来一个fake app

ulyanov2233

【 yiwaiwai build version (126).rar】
链接：https://qfile.qq.com/q/pXU0ExZ8mA
vt初扫4/48：https://www.virustotal.com/gui/f ... 7cf1c3836?nocache=1

图钉鱼

Yiwaiwai Build Versi7#exe样本是一个多阶段的投递器，自解密自加载自释放。


初始侦察与PE解密: 初始阶段代码存在小量混淆，快速检测提示入口存在小量混淆，高熵分析提示（.data段熵值7.73，提示UPX）样本存在加壳加密。
这个壳在正式运行前，执行了一段检测的代码（从地址 1401862fc 开始）。
它密集调用了多个Windows API来获取系统状态和时间信息，这在正常程序中少见：
GetSystemTimeAsFileTime：获取高精度系统时间。
GetCurrentProcessId：获取当前进程ID。
GetCurrentThreadId：获取当前线程ID。
GetTickCount：获取系统启动后的毫秒数。
QueryPerformanceCounter：获取高精度性能计数器值。
这些函数返回的值通常在调试环境或虚拟机中与在真实物理机上有所不同，或者两次运行之间的差值不符合预期。
生成环境指纹：
程序将上述API调用的结果通过一系列 xor（异或）运算组合在一起。
这实际上是在根据当前的运行环境（进程ID、时间戳等）生成一个独一无二的“指纹”或“密钥”。
程序将计算出的指纹与一个硬编码的值（movabs rdi, 0x2b992ddfa232）进行比较（cmp rax, rdi 和 cmp r11, rdi）。
如果检测到环境异常（例如，在调试器中单步执行导致时间差过大，疑似虚拟机环境），计算出的指纹就会不匹配，程序可能会改变执行路径或直接退出，从而阻止分析。

保护机制触发：壳代码执行到地址 140176fae 时，调用 KERNEL32.DLL#GetStartupInfoW 失败，直接导致进程退出。这是典型的壳的主动保护行为——通过故意让API调用失败，检测是否处于调试/脱壳环境（因为调试器可能会hook API，导致调用异常）。
在完成环境检测后，壳执行了一个跳转指令 jmp 0x140176f9c，执行下一阶段的代码。

没有直接分析复杂的壳代码，而是聚焦于内存中的解密行为。对于核心解密函数sub_140013DF8，没有逐行追踪其循环，采用CPU指令集模拟执行，对解密循环的关键代码片段进行快速模拟，快速验证了解密算法为d = ((e + 9) % 256) ^ 0x27，并成功从.data区段解密加载内存中的PE payload。（存在多个文件，二次拼接，需动态调试或沙箱，静态分析仅能做逻辑分析，不能完整提取衍生物！）

核心功能分析 (剪枝策略): 对于解密后的PE payload，首先通过导入表和字符串分析，快速定位到SetWindowsHookExA和WinINet相关API，形成了“键盘记录+网络通信”的初步假设。对于负责维持钩子活性的复杂函数sub_14006D2C8，采用了分析剪枝策略，仅分析其对CreateWindowExA和消息循环（GetMessageA/DispatchMessageA）的调用，确定其宏观功能是“创建隐藏窗口以维持钩子活性”，没有深入其函数做循环检查。

动态行为验证 : 静态分析无法解释样本如何执行文件拼接和加载。动态报告补充了这一关键环节，其利用mmc.exe和cmd.exe的LOLBin（Living Off the Land Binaries），以及通过QQSetupEx.exe进行的DLL侧加载。这证实了静态分析中无法直接观察到的横向执行流程。


执行Yiwaiwai Build Versi7#exe。
反VM检测函数IsVirtualMachine，检查VBoxService.exe/VmwareTools.exe模块
AntiDebug\_Check\_Debugger和AntiDebug\_SEH\v4，具备反调试能力


  1. 在内存中解密并加载一个功能完整的PE payload。
  2. 在磁盘上释放多个文件片段和一个用于侧加载的宿主程序。
  3. 利用系统工具拼接并部署最终的恶意DLL。
  4. 一个在合法进程(QQSetupEx.exe)上下文中运行的恶意DLL (arkHttpClient.dll)。
  5. 被窃取的键盘记录数据，通过TCP流发送至C2服务器。


PE Payload解密:
函数: sub_140013DF8
数据源: 全局变量 dword_140275E30 (大小: 3,452,928字节+，动态值具体数值需调试获取)
将加载出来十六进制数据转换为整数后再执行异或解密
算法: 这是一个单字节替换加密，其核心逻辑为：
c
     // e: encrypted_byte, d: decrypted_byte
     d = ((e + 9) % 256) ^ 0x27;

     密钥0x27来源于函数硬编码参数3367 (0xD27)的低8位。先截断到8位，再异或。

自定义函数：PE反射式加载:
函数: sub_140013E40
流程: 该函数充当一个自定义的PE加载器，它不依赖LoadLibrary，而是在内存中手动解析解密后的PE文件：
1. 验证PE头 (MZ和PE签名)。
2. 遍历导入表，调用LoadLibraryA和GetProcAddress手动填充导入地址表（IAT）。
3. 处理重定位。
4. 跳转到PE的入口点执行。

进程链: Yiwaiwai Build Versi7#exe -> mmc.exe -> cmd.exe
文件拼接命令:
bash
   copy /b C:\ProgramData\u\H91eu@7\v + C:\ProgramData\u\H91eu@7\b C:\ProgramData\u\H91eu@7\arkHttpClient.dll

样本将恶意的DLL拆分成两个看似无害的文件片段v和b，在运行时通过cmd.exe的copy /b命令（二进制拼接）拼接重组为完整文件。这大大地增加了静态文件检测的难度。

DLL侧加载

机制: 样本运行释放的QQSetupEx.exe（QQ白文件），该程序会优先加载位于其相同目录下的arkHttpClient.dll（黑DLL），侧载。


键盘记录与C2通信
键盘记录:
通过SetWindowsHookExA安装WH_KEYBOARD线程级钩子。
为了确保钩子在无UI的程序中持续工作，sub_14006D2C8函数创建了一个名为HiddenWindowClass的隐藏窗口，并启动GetMessageA/DispatchMessageA消息循环。这是维持钩子活性的关键。
C2通信:
最终载荷通过TCP协议连接到154.23.176.40【:】15628。
静态分析发现的WinINet API和192.168.1.100私有地址，表明其具备HTTP通信能力，可能作为备用信道或用于其他功能，具体C2值需动态运行传递。


该样本在整个攻击流程中扮演了初始访问后的部署和执行角色。它负责将加密的、拆分的最终载荷在目标系统上重组、加载并执行。


0x140013DF8|\[Core-Logic]|100%|PE解密函数，使用算法((e + 9) % 256) ^ 0x27解密  dword\_140275E30
0x140275E30|\[Core-Logic]|100%|存储加密的PE payload，是恶意代码的载体
Yiwaiwai Build Versi37#exe|\[Execution-Injection]|95%|作为Dropper，释放多个文件并利用LOLBin（mmc.exe, cmd.exe）执行后续阶段
C:\Windows\system32\mmc.exe|\[Execution-Injection]|90%|被用作LOLBin，启动cmd.exe执行文件合并命令，以白进程身份掩盖恶意行为
C:\Windows\System32\cmd.exe|\[Execution-Injection]|90%|被用作LOLBin，执行copy /b命令，将拆分的文件合并为恶意DLL
QQSetupEx.exe|\[Execution-Injection]|95%|作为宿主程序，通过DLL侧加载技术加载并执行恶意的arkHttpClient.dll
arkHttpClient.dll|\[C2-Communication]|100%|最终载荷，负责键盘记录并通过TCP连接到154.23.176.40:15628上传数据
C:\ProgramData\XXXX.url|\[Persistence]|80%|创建.url文件，可能用于持久化或社工攻击（[InternetShortcut]URL=file://%ALLUSERSPROFILE%\*\*\QQSetupEx.exe
Extracted Files）
|\[Anti-Analysis]|90%|通过修改文件时间戳（SetFileTime）来对抗取证分析
|\[Anti-Analysis]|85%|通过文件拆分与合并技术，逃避静态文件扫描
|\[Anti-Analysis]|85%|YARA检测到AntiDebug\_Check\_Debugger和AntiDebug\_SEH\_v4，具备反调试能力
0x140048800|\[Info-Steal]|95%|调用SetWindowsHookExA安装线程级键盘钩子（WH\_KEYBOARD），回调sub\_1400485C8
0x14006D2C8|\[Core-Logic]|100%|创建隐藏窗口（HiddenWindowClass）并启动消息循环，维持钩子活性
0x14001DD9C|\[Info-Steal]|100%|按键解析函数，将虚拟键码转为可读字符存储至全局缓冲区
0x14001E000|\[Anti-Analysis]|85%|反VM检测函数IsVirtualMachine，检查VBoxService.exe/VmwareTools.exe模块

心醉咖啡

火绒7.25库

ulyanov2233

心醉咖啡 发表于 2025-7-26 22:38
火绒7.25库

这回是实机表现比vt上好了，vt上的火绒不报

Curve25519

ESSP 不知道是监控还是扫描起作用了：

扫描日志
检测引擎的版本: 31590 (20250726)
日期: 2025/7/26  时间: 23:05:05
已扫描的磁盘、文件夹和文件: W:\Sandbox\Admin\DefaultBox\drive\W\yiwaiwai build version (126)
用户: DESKTOP-K07940I\Admin
W:\Sandbox\Admin\DefaultBox\drive\W\yiwaiwai build version (126)\ yiwaiwai build version (126).msi > MSI > Binary._D7D112F049BA1A655B5D9A1D0702DEE5 > WINRARSFX > Yiwaiwai Build Versi@7.exe - Win64/Injector.JN 特洛伊木马 的变量 - 已保留
已扫描的对象数: 20994
检测数: 1
已清除的对象数: 0
完成时间: 23:05:20  总扫描时间: 15 秒 (00:00:15)

-------------------------------------------------------------------------------
监控：
\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\W\yiwaiwai build version (126)\ yiwaiwai build version (126).msi;Win64/Injector.JN 特洛伊木马 的变量;已删除;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (50F7C87E15F2DADADF3C177B85D2F58ED0E4A6FA).;D65682305C93976B87BECDC0F55D5AEB36B2805F;
\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\W\yiwaiwai build version (126)\ yiwaiwai build version (126).msi > MSI > Binary._D7D112F049BA1A655B5D9A1D0702DEE5;Win64/Injector.JN 特洛伊木马 的变量;已删除;;DDC518BBB79C7FCC1D333C253B581984F25F2306;
\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\W\yiwaiwai build version (126)\ yiwaiwai build version (126).msi > MSI > Binary._D7D112F049BA1A655B5D9A1D0702DEE5 > WINRARSFX > Yiwaiwai Build Versi@7.exe;Win64/Injector.JN 特洛伊木马 的变量;已删除;;241843E7DF680C865DAEF254857C8ED9B3E77E34;

GDHJDSYDH

自制玩具鉴定恶意

jxfaiu

扫描

ongarabazanade

biue

腾讯电脑管家 1X