-
-
未解决 [求助]如何分析这种NSIS病毒? 50.00雪花
-
发表于: 2021-6-8 10:41
-
这是一个修改过的nsis邮箱附件后门恶意文件
如上图,该病毒第一次启动与自己调用自己时加载了两套不同的dll。
但是在OD与IDA中只有第一次启动的相关dll加载与实现代码,没找到任何与第二个线程相关的代码与调用。。。
请问这种情况该怎么做才能找到第二个线程中恶意行为的代码?
微步沙箱:https://s.threatbook.cn/report/file/7a10e05153d92d93e2373c0bdd2b5858b46a8af5d066f2af38fde512f1fdd529/?env=win7_sp1_enx86_office2013
VT:
https://www.virustotal.com/gui/file/7a10e05153d92d93e2373c0bdd2b5858b46a8af5d066f2af38fde512f1fdd529/detection
恶意文件已压缩后放在在附件内。无后缀,不会自启动。可用7Z解包
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
可以网上找一下nsis脚本还原的相关资料,你这个样本脚本还原之后关键代码我帮你贴上来了,可以参考下 Function .onInit SetOutPath $INSTDIR File $INSTDIR\yrcvb.dll File $INSTDIR\ftfhpv.lko System::Call $INSTDIR\yrcvb.dll::Ydlcpzlxpe(w$\"$INSTDIR\ftfhpv.lko$\") ; Call Initialize_____Plugins ; SetOverwrite off ; File $PLUGINSDIR\System.dll ; SetDetailsPrint lastused ; Push $INSTDIR\yrcvb.dll::Ydlcpzlxpe(w$\"$INSTDIR\ftfhpv.lko$\") ; CallInstDLL $PLUGINSDIR\System.dll Call RMDir $INSTDIR RMDir $INSTDIR\data RMDir /r /REBOOTOK $INSTDIR RMDir /REBOOTOK $INSTDIR\DLLs FunctionEnd 脚本安装时使用的yrcvb.dll和ftfhpv.lko都可以直接通过7z解压该文件找到,你在微步沙箱中看到的system.dll可以在$PLUGINSDIR文件夹内找到
|
|
|
这些我不是已经贴在主楼了吗。。。我想知道的是第二个进程里恶意行为代码的位置 我的意思是用静态或者动态分析的方法,该怎么找到这个病毒的恶意行为?
最后于 2021-6-8 14:15
被Ruinaaa编辑
,原因:
|
