欢迎进入UG环球官网(环球UG)!

usdt支付对接(www.caibao.it):一个加密病毒的剖析

admin1个月前26

USDT交易平台

U交所(www.payusdt.vip)是使用TRC-20协议的Usdt官方交易所,开放USDT帐号注册、usdt小额交易、usdt线下现金交易、usdt实名不实名交易、usdt场外担保交易的平台。免费提供场外usdt承兑、低价usdt渠道、Usdt提币免手续费、Usdt交易免手续费。U交所开放usdt otc API接口、支付回调等接口。

实验环境:win7 x64
样本信息:(微步获取)


剖析工具:火绒,x64dbg,IDA
一:在虚拟机中运行一下,看一下病毒的运行效果
启动前:(笔者确立了一个txt文件举行测试)

启动后:(文件都被加密了)

病毒作者留下的联系信息:

二:剖析一下病毒文件的行为(使用火绒来监控病毒行为)
一大堆事宜信息,头皮发麻:

三:静态剖析前置操作
查一下壳:没发现壳的信息,程序是用C++13编写的

字符串中发现了加密算法:发现在两个函数中引用,推测应该就是加密函数了

只有一个区块,推测应该是做了一些处置:

查看导入表发现挪用了一些敏感函数如文件遍历的相关函数,及在注册表等操作的相关函数

四:剖析
mian函数中只挪用了一个函数


我们跟进去看一看(push一堆值,挪用了这个函数,这是一个要害函数,从后面剖析来看,这是个解密函数,本文以下简称为解密函数)


跟进408B19函数,内里有点乱,我们动态剖析一下,调试剖析了一下发现一大堆的数据


继续动态调试,来到409CE7处,该处挪用了GetModuleFileName函数来获取文件:
本机文件的详细地址:0040CAB8:&L"C:\Users\test\Desktop\a.exe"
接着又挪用领会密函数


解密的效果为.Snake4444,这是加密文件的后缀


我们还瞥见了HOW…..这是作者留下的解密信息文件,推测后续操作应该是解密相关信息并写入文件
接着向下看,来到了4088F4函数,这是一个获取相关硬件信息的函数,留着给后面加密函数使用


继续向下看,我们发现了这个函数,该函数的功效是获取系统环境变量,同时若是之一次获取不乐成的话就在获取一次,两次都不乐成就退出,主要是获取LOCALAPPDATA或APPDATA环境变量


获取乐成的话就在字符串末尾添加反斜杠


接着获取到文件名,最后将自身拷贝到local目录下


接着举行注册表操作

,

USDT场外交易

U交所(www.payusdt.vip),全球頂尖的USDT場外擔保交易平臺。

,


接下来是文件的相关操作,我们进入函数剖析一下


进入以后首先看到的是确立文件,写入了一个文件,文件推测为公钥


继续随着流程走,走到了我们的加密函数了,天生RSA密钥对


接着走,发现了遍历磁盘的操作


同时凭证遍历的效果来确立线程,推测接下来应该是举行加密操作了,动次动态调试后可以确定4099A3就是加密函数


接下来我们剖析一下409449这个函数


这个函数的主要功效是确立一个BAT文件,推测这个.bat的文件应该是做一些整理事情


在X64中下断409449函数动态调试发现着实这个目录下确立文件


tmp85c2.tmp.bat的文件内容


挪用CMD下令删除病毒文件


总结:以前总是喜欢静态剖析,但这个病毒的一些函数只看静态的话有些看不懂,照样要多多演习一下动态调试的能力

上一篇 下一篇

猜你喜欢

网友评论

随机文章
热门文章
热评文章
热门标签