首页 技术分享

昨天在某葫芦侠看到实用软件版块有一个youtube视频下载器,正好需要我就去整了一个拿来用,下载下来打开提示有病毒,我寻思多半又是nt安全软件瞎报,就随手点了信任,然后再次打开,打开速度有点迟缓但是没有异常,但是无法正常解析youtube视频,我也就只骂了句垃圾软件然后就没管它了,谁知道今天打开电脑一看cpu爆满,好家伙搞到我头上来了 这怎么能忍?撸起袖子就干!


帖子截图
软件下载下来打开,确实正常打开了youtube下载器,然后查看进程,发现名为 TemporaryFile的进程
打开火绒剑分析,发现是由 youtube解析.exe进程调用的,但是找不到这个进程
在这里插入图片描述
关闭所有相关进程,再次添加到信任区,点击运行,被杀软拦截,发现在 Appdata/roaming目录下生成了 youtube解析.exe文件
在这里插入图片描述
在这里插入图片描述
找不到 youtube解析.exe是因为该进程不会直接运行,运行后会转移并在windows缓存目录下,以 TemporaryFile命名并运行,通过Everything搜多文件名可以找到位置,加上exe后缀可还原
在这里插入图片描述
在这里插入图片描述
拿到样本了我们直接开始分析(通过近乎为0的知识)
首先通过PEiD分析发现是32位程序,并且没有加壳,看来这位老哥也不是很有经验
在这里插入图片描述
既然没加壳倒是省了我们一步,打开IDA进行静态分析,经过一番搜索发现了这些
首先发现了一段http请求的信息
在这里插入图片描述
然后发现了邮件数据包的头部信息,从这些信息可以大致分析出发送的内容,应该是盗取的什么文件
在这里插入图片描述
接下来通过 Ollydbg和 ProcessMonitor配合,详细分析程序行为
在这里插入图片描述
在这里插入图片描述
通过对程序行为的分析,发现存在注册表读写以及文件读写行为,并且存在TCP连接,应该是与服务器存在数据交互
在这里插入图片描述
将拿到的ip进行查询发现是一台搭载Windows的阿里云服务器
在这里插入图片描述
Nmap扫描端口,发现开放了http、smtp以及pop3服务,与之前分析得到的http数据包和邮件数据包相对应,3389端口也开着
在这里插入图片描述
既然拿到他的服务器IP了,我也没把IP打码,相信兄弟萌该干嘛不用我多说了
顺带一提,刚刚在葫芦侠里面看了一下发帖子的人的其他帖子,发现他所有的原创软件里面都有这个病毒,还恬不知耻的删评论
然后我就。。。
在这里插入图片描述
兄弟萌,把正道的光打在公屏上




文章评论

    sheep77 大佬ChromeWindows
    2021-03-16 9:03   回复

    哈哈哈哈哈哈哈哈学到了,指记得加壳

      Y5neKO 菜鸡ChromeWindows
      2021-03-16 9:10   回复

      不,大佬你应该反打一手入侵者

    ⑨BIE 大佬ChromeAndroid
    2020-12-24 13:42   回复

    我现在都是丢虚拟机了 这种软件不怕远控,就怕偷你凭据,比如浏览器保存的密码或者其他的 然后一瞬间装库脱裤社工,底裤都会被人扒没

      Y5neKO 菜鸡ChromeAndroid
      2020-12-24 13:51   回复

      我每次拿到这种软件,都是事后才想到丢虚拟机,怕是啥时候要遭

目录