吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 7990|回复: 55
收起左侧

[PC样本分析] 一锁机病毒样本分析

  [复制链接]
ahov 发表于 2021-7-7 08:30
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
我从卡饭论坛听闻次元盒论坛有伪装成破解版百度网盘传播的锁机病毒
IMG_5509.JPG

而且传播范围极广
IMG_5510.JPG

本篇将对其进行分析,采用https://cyhe.org/thread-32695-1-1.html此样本(本篇暂不采用反编译、反编汇,只看行为)

首先,我们先去在线多引擎平台Virustotal一探究竟
IMG_5511.JPG

我们看到该样本报毒率极高,并且有杀软给出了MBRlocker、rootkit、Ransom等的报毒名


其次,我们去在线沙箱微步云沙箱平台一探究竟,果然发现了新大陆
IMG_5512.JPG

基本可确定为MBRlocker病毒,请注意看底下红括号内部分的内容“ QQ 2531755086 a lock!!!Please enter the unlock password”,我们来翻译一下:QQ 2531755086 有锁!!!请输入解锁密码……


对其QQ,进行查询后,我们发现,病毒制作者有多个QQ账号,并且挑衅受害者说一个QQ号只要几分钱
IMG_5513.JPG

IMG_5514.JPG

IMG_5515.JPG

IMG_5516.JPG

已知病毒作者QQ号有:2531755086、1704834969、2250879899、2531755086、3132680598、2182892504等

未完待续

免费评分

参与人数 6吾爱币 +4 热心值 +5 收起 理由
iZM666 + 1 + 1 用心讨论,共获提升!
dahai1270 + 1 我很赞同!
溯雪 + 1 + 1 热心回复!
FJFJ + 1 + 1 我很赞同!
星星之夜 + 1 热心回复!
bushadie + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| ahov 发表于 2021-7-7 08:38
样本下载地址https://wwe.lanzoui.com/i9q1api9ueb
样本传播网址https://cyhe.org/forum.php?mod=viewthread&tid=32695&highlight
 楼主| ahov 发表于 2021-7-7 08:46
1.病毒作者发出来的手机号均为受害者手机号https://cyhe.org/thread-30114-1-5.html
2.之前版本病毒的解锁密码https://cyhe.org/thread-29136-1-1.html(暂不知最新版本是否有变化),解锁密码存在进制字符,小白用户想解锁非常地难搞
 楼主| ahov 发表于 2021-7-7 09:17
 楼主| ahov 发表于 2021-7-7 09:21
下一篇估计有点儿困难,运行火绒剑看行为的时候,一不小心中招了
 楼主| ahov 发表于 2021-7-7 10:09
JuncoJet 发表于 2021-7-7 10:02
楼主这叫试毒= =#以身试毒

IMG_5522.PNG 差点儿又没了,不过火绒剑数据又丢了……
 楼主| ahov 发表于 2021-7-7 10:28
好家伙,怪不得火绒剑数据全丢了,这玩意儿修改mbr一旦被拦截就会出现蓝屏…… IMG_5523.PNG
 楼主| ahov 发表于 2021-7-7 11:01
IMG_5527.JPG IMG_5526.JPG 病毒作者出言不逊(这个是170开头那个qq号)
 楼主| ahov 发表于 2021-7-7 11:15
IMG_5528.JPG
 楼主| ahov 发表于 2021-7-7 11:22
IMG_5529.JPG 加他qq得小心了,他能查到你的qq所绑定的手机号
24k纯金滑稽 发表于 2021-7-7 17:26
ahov 发表于 2021-7-7 11:22
加他qq得小心了,他能查到你的qq所绑定的手机号

基本操作,小学生都能干得到。先用安全中心反查你手机号的前几位和后几位,然后用qq邮箱看看能不能查到你支付宝账号,查得到的话就看下你是哪个地方的,顺便再看下你手机号前几位和后几位。由于手机号前三位是运营商识别码,4-7位是地区编码,所以知道你是哪个地方的人以后就可以进行排除。运气好的话可以直接把可能性降低到几百个号码。然后把所有的可能性列成表格,全部加到虚拟机的通讯录里,在虚拟机上登录qq,然后选择添加通讯录里的好友,慢慢翻,翻到你的qq号以后就可以知道你的手机号了

免费评分

参与人数 1吾爱币 +1 收起 理由
dahai1270 + 1 热心回复!

查看全部评分

JuncoJet 发表于 2021-7-7 15:49
这分析难点应该是创建新进程的路径,迷惑了!
Image 806.jpg
修改后的MBR

Image 807.jpg
下断获取到有创建新进程(此处路径迷惑了我,一直以为在桌面上)

Image 808.jpg
修改生成MBR锁显示信息和密码
终南明月 发表于 2021-7-7 08:37
最好能分析出解锁密码。
asdqu 发表于 2021-7-7 08:42
感谢楼主的分析,坐等更新
g951295 发表于 2021-7-7 08:51
楼主好厉害
Spa495 发表于 2021-7-7 08:55
感谢楼主的分享
xaibin 发表于 2021-7-7 09:01
应该常规杀软能预警处理吧,不过期待楼主早出解密方案。
aonima 发表于 2021-7-7 09:05
没想到还有人玩锁机的,不明白这样能搞多少钱?为了这点钱犯罪值得吗?
GGbond 发表于 2021-7-7 09:08
搞错板块了吧,这不算样本分析。
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-29 06:24

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表