首页
社区
课程
招聘
未解决 [求助]如何分析这种NSIS病毒? 50.00雪花
发表于: 2021-6-8 10:41 3561

未解决 [求助]如何分析这种NSIS病毒? 50.00雪花

2021-6-8 10:41
3561

这是一个修改过的nsis邮箱附件后门恶意文件


如上图,该病毒第一次启动与自己调用自己时加载了两套不同的dll。
但是在OD与IDA中只有第一次启动的相关dll加载与实现代码,没找到任何与第二个线程相关的代码与调用。。。

 

请问这种情况该怎么做才能找到第二个线程中恶意行为的代码?

 

微步沙箱:https://s.threatbook.cn/report/file/7a10e05153d92d93e2373c0bdd2b5858b46a8af5d066f2af38fde512f1fdd529/?env=win7_sp1_enx86_office2013

 

VT:
https://www.virustotal.com/gui/file/7a10e05153d92d93e2373c0bdd2b5858b46a8af5d066f2af38fde512f1fdd529/detection

 

恶意文件已压缩后放在在附件内。无后缀,不会自启动。可用7Z解包


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

上传的附件:
收藏
免费 1
支持
分享
最新回复 (2)
雪    币: 968
活跃值: (6828)
能力值: (RANK:462 )
在线值:
发帖
回帖
粉丝
2

可以网上找一下nsis脚本还原的相关资料,你这个样本脚本还原之后关键代码我帮你贴上来了,可以参考下

Function .onInit
  SetOutPath $INSTDIR
  File $INSTDIR\yrcvb.dll
  File $INSTDIR\ftfhpv.lko
  System::Call $INSTDIR\yrcvb.dll::Ydlcpzlxpe(w$\"$INSTDIR\ftfhpv.lko$\")
    ; Call Initialize_____Plugins
    ; SetOverwrite off
    ; File $PLUGINSDIR\System.dll
    ; SetDetailsPrint lastused
    ; Push $INSTDIR\yrcvb.dll::Ydlcpzlxpe(w$\"$INSTDIR\ftfhpv.lko$\")
    ; CallInstDLL $PLUGINSDIR\System.dll Call
  RMDir $INSTDIR
  RMDir $INSTDIR\data
  RMDir /r /REBOOTOK $INSTDIR
  RMDir /REBOOTOK $INSTDIR\DLLs
FunctionEnd



脚本安装时使用的yrcvb.dll和ftfhpv.lko都可以直接通过7z解压该文件找到,你在微步沙箱中看到的system.dll可以在$PLUGINSDIR文件夹内找到

2021-6-8 12:11
0
雪    币: 203
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
3
顾何 可以网上找一下nsis脚本还原的相关资料,你这个样本脚本还原之后关键代码我帮你贴上来了,可以参考下Function .onInit   SetO ...

这些我不是已经贴在主楼了吗。。。我想知道的是第二个进程里恶意行为代码的位置
这病毒只读了那个加密的二进制文件,其他都是混淆
因为nsis安装包是改过的,所以如果找不到操作位置没法解密这个二进制文件

我的意思是用静态或者动态分析的方法,该怎么找到这个病毒的恶意行为?

最后于 2021-6-8 14:15 被Ruinaaa编辑 ,原因:
2021-6-8 13:43
0
游客
登录 | 注册 方可回帖
返回
//