-
-
[原创]某某样本的详细分析<一>
-
发表于: 2016-4-1 18:32
-
前言
现在已经不再传播exe程序了,公民安全意识普遍提高了,随便弄一个exe不会点击了。但是病毒技术也在提高,他们现在传播js了,没错一个js脚本就可以。
Js负责下载外壳程序,本病毒的外壳程序大量采用申请内存,转移代码,
以及混淆代码。下面分析的时候,申请内存转移代码就直接跳过,详情请参照样本
第一章样本基本信息
Js:Org.js
Md5:f16c46c917fa5012810dc35b17b855bf
外壳:o4pskd.exe
Md5: e7c42d7052e59db13d26e3f3777d04af
第二章 详细分析
第一节 js分析
我们捕捉的原始脚本如下
是不是没看懂,他们弄的什么,但是很想jquery 语法啊 ,人家模拟的,也辛苦人家了
再看看我们去除花指令,语法整理,变量重新标明,等技术手段,最终得到的脚本是
后面不贴了 看doc吧
另外 谁有样本群啊 麻烦加我一下 以后一起分析样本 一起交流啊
现在已经不再传播exe程序了,公民安全意识普遍提高了,随便弄一个exe不会点击了。但是病毒技术也在提高,他们现在传播js了,没错一个js脚本就可以。
Js负责下载外壳程序,本病毒的外壳程序大量采用申请内存,转移代码,
以及混淆代码。下面分析的时候,申请内存转移代码就直接跳过,详情请参照样本
第一章样本基本信息
Js:Org.js
Md5:f16c46c917fa5012810dc35b17b855bf
外壳:o4pskd.exe
Md5: e7c42d7052e59db13d26e3f3777d04af
第二章 详细分析
第一节 js分析
我们捕捉的原始脚本如下
是不是没看懂,他们弄的什么,但是很想jquery 语法啊 ,人家模拟的,也辛苦人家了
再看看我们去除花指令,语法整理,变量重新标明,等技术手段,最终得到的脚本是
后面不贴了 看doc吧
另外 谁有样本群啊 麻烦加我一下 以后一起分析样本 一起交流啊
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
