通过伪装系统文件劫持微信启动的银狐dll

落华无痕

样本（infected）：https://free.lanzoue.com/ih9Q83bbxu7g

nulluser1234

卡顿制造机，调一次dllmain创一条线程
C&C：augvertu.com

莒县小哥

wwwab

1. def decrypt_url():
   
2.     # 加密的字节数组（十六进制）
   
3.     encrypted_bytes = [
   
4.         0x64, 0x70, 0x70, 0x6C,  # "dppl" - 前4个字节
   
5.         0xBA, 0xAD, 0xAD, 0x63, 0x77, 0x65, 0x76, 0x67,
   
6.         0x72, 0x70, 0x77, 0xAE, 0x61, 0x6D, 0x6F, 0xAD,
   
7.         0x74, 0x74, 0x74, 0x61, 0x63, 0xAE,  # v7的剩余部分
   
8.         0x70, 0x74, 0x70  # v8的3个字节 "ptp"
   
9.     ]
   
10.    
    
11.     decrypted_chars = []
    
12.    
    
13.     for byte_val in encrypted_bytes:
    
14.         # 第一步：与0x6E3异或（取低8位）
    
15.         temp = byte_val ^ (0x6E3 & 0xFF)  # 0x6E3 & 0xFF = 0xE3
    
16.         # 第二步：减去31
    
17.         decrypted_byte = (temp - 31) & 0xFF  # 确保在0-255范围内
    
18.         decrypted_chars.append(chr(decrypted_byte))
    
19.    
    
20.     decrypted_url = ''.join(decrypted_chars)
    
21.     return decrypted_url
    
22. 
    
23. # 计算并显示结果
    
24. url = decrypt_url()
    
25. print(f"解密后的URL: {url}")
    
26. print(f"URL长度: {len(url)}")

复制代码

http[:]//augvertu[.]com/xxxca.txt

superLYT

BDTS右键miss

dd2006

红伞 miss
华为 miss
SEP miss

wowocock

能再现环境的原始样本发下。

落华无痕

wowocock 发表于 2025-11-17 14:23
能再现环境的原始样本发下。

没有。问题电脑运行了一堆程序后才知道中毒了。
下载的文件、下载记录、浏览器历史记录都清空了，看不到。
打开微信并登陆后火绒快速扫描就会报内存病毒。

请叫我德玛西亚

瑞星esm  kill

wwwab

wowocock 发表于 2025-11-17 14:23
能再现环境的原始样本发下。

试试这个样本


（分卷压缩，放在同一个目录下仅删除".chm"解压）

我这边没有复现内存扫描检出。可能是因为虚拟机，或者Shellcode没拉下来，我这边连不上C2好像。
动了 "C:\Users\Public\Downloads\d3dcompiler_74.dll" "C:\Program Files\Tencent\Weixin\4.1.4.17\cryptbase.dll"
安装微信后启动 "C:\Program Files\Tencent\Weixin\4.1.4.17\crashpad_handler.exe"