-
-
[原创]仿冒官网的一个病毒浅析[水文]
-
发表于: 1天前
-
偶然看到这么一条信息:
1 | https://any.run/report/bd735403f24bc9cef8e54d7ae5e827dcf6ccbfc1f8e7385ba3bd94f05f7628e5/6d6c44e8-81f9-47f3-8b20-695c0151ea1e |
其中涉及到的网址:https://huorong.work/;
看起来像是仿冒火绒的官网,浅析一下其中的样本。
下载的压缩包解压后是一个用Setup Factory制作成的安装包,详细信息如下:
使用Universal Extractor提取其中的文件;
其中“sysdiag-all-x64-6.0.2.3-2024.09.30.1.exe”是火绒正常的安装程序;“SSD-ww.msi”是加塞的恶意文件,其相关信息如下:
运行从“SSD-ww.msi”中提取的“ddd.exe”,会生成如下文件:
看着像白加黑,那么接下来就分析“HttpDownloader.dll”;
罪魁祸首函数如下:
先找到加密后的shellcode的存放位置;
然后读到内存中;
解密出来的shellcode是一个加了UPX壳的dll(后门);
相关信息如下:
脱壳:
到达OEP;
后续不再赘述,看字符串也能看出个大概;
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
