[讨论]半个样本-软件逆向-看雪-安全社区|安全招聘|kanxue.com

0

[讨论]半个样本

发表于: 2012-6-7 13:12 6559

[讨论]半个样本

HOWMP

活跃值

1

2012-6-7 13:12

6559

今天朋友玩游戏，遇到一骗子，于是有个这个样本。

为什么会说半个，因为那骗子本身就只发了半个。

样本的流程是解密shellcode，并执行。从xxx.jpg文件读入信息，写到栈中并运行。
缺少的也就是xxx.jpg。

不过有意思的是360

难道是因为恶意代码放在了xxx.jpg里，而ZryHyk.exe并没有恶意代码。所以暂未发现风险

解压密码：1
ZryHyk.zip

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

ZryHyk.zip （11.98kb，16次下载）
QQ截图20120607131018.png （41.30kb，269次下载）

收藏・0

免费

支持

分享

最新回复 (9)
evilor 雪币： 297 活跃值： (280) 能力值： ( LV4，RANK：55 ) 在线值：发帖 34 回帖 660 粉丝 2 关注私信	evilor 2 楼代码有恶意行为大都会被拦截的，从图片文件读出来的代码做了啥动作 2012-6-7 13:20 0
HOWMP 雪币： 3408 活跃值： (3284) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 248 粉丝 7 关注私信	HOWMP 1 3 楼因为只有半个样本，所以只是讨论这种方式。 2012-6-7 13:32 0
Rprop 雪币： 878 活跃值： (496) 能力值： ( LV3，RANK：20 ) 在线值：发帖 35 回帖 743 粉丝 13 关注私信	Rprop 4 楼这和内存加载不是异曲同工嘛 2012-6-7 13:47 0
小覃雪币： 615 活跃值： (212) 能力值： ( LV9，RANK：140 ) 在线值：发帖 19 回帖 553 粉丝 4 关注私信	小覃 2 5 楼 ZryHyk.exe可能被杀软认为有漏洞的软件，不能说明它是病毒，而恶意行为特征在jpg文件shellcode里。。。 2012-6-7 18:54 0
zhangtaopy 雪币： 125 活跃值： (171) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 146 粉丝 0 关注私信	zhangtaopy 1 6 楼 ksup_838812_我的姐妹相片.rar 楼主所说的完整样本在此~~~ 这种相当于一个loader 还真不好判定图片很黄很暴力请捂住眼睛上传的附件： ksup_838812_我的姐妹相片.rar （345.74kb，60次下载） 2012-6-14 15:25 0
zhangtaopy 雪币： 125 活跃值： (171) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 146 粉丝 0 关注私信	zhangtaopy 1 7 楼感觉这种文件是用某种生成器生成的，拿一个正常程序随机改掉入口前面一个call，跳到病毒放在节间隙里的代码，然后把图标改掉。判定起来有些难度。 2012-6-14 15:33 0
HOWMP 雪币： 3408 活跃值： (3284) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 248 粉丝 7 关注私信	HOWMP 1 8 楼运行完毕后释放C:\Program Files\WindowsUpdate两个文件一个enlpu.dll，MSUpdates.exe。都被360秒杀。这样看来360也算是敬业了 2012-6-14 16:22 0
ycmint 雪币： 1149 活跃值： (1008) 能力值： ( LV13，RANK：260 ) 在线值：发帖 28 回帖 894 粉丝 11 关注私信	ycmint 5 9 楼 mark it.... 2012-7-2 22:45 0
guobing 雪币： 13372 活跃值： (158) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 402 粉丝 0 关注私信	guobing 10 楼貌似现在很流行这，记得去年有个飘雪利用一个加密的配置文件作为shellcode，支付宝盗号找个有数字签名加载个dll也没什么危险动作仅仅拼凑一个pe文件。一个模子生成出来的，一坨一坨。。 2012-7-2 23:53 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

HOWMP

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区