2枚敲诈木马分析过程

Sp4ce

在群里看到个被锁机的人，好可怜啊。。
哥哥是个有热心的人，，就帮他了！
然后，给我传过来锁他电脑的东西，，随后360报毒为恶意软件。。
尝试用记事本打开，但是刚打开360就提示有程序正在加锁。。
好吧，走OD！
先来第一个HASH
----------------------------------------------
大小: 1536 字节
修改时间: 2014年1月31日, 1:28:10
MD5: 0B1972462EC0041BF9711561CA1A1B45
SHA1: 700B448E07738CB82937983CA86C61A82F4E060D
CRC32: 5BAD5D4C
-----------------------------------------------
然后载入OD。。。



右击鼠标，选择中文搜索引擎，ASCILL搜索。。
发现了个这东西
看来107289就是密码了。
然后给他……


完美解决！附样本1（请无视掉文件名，打错了）下载： 样本2.rar (838 Bytes, 下载次数: 62)

2014-6-26 10:13 上传

点击文件名下载附件
样本

但是。。。。
这货给我介绍了个HACKER，，这个HACKER的朋友也被锁机了，，
然后开始搞第二个……
第二个的HASH
----------------------------------------------
大小: 774144 字节
文件版本: 20.13.9.27
修改时间: 2014年4月17日, 13:14:25
MD5: 24EC95CE2AE5F7A82B4143997BFC07C1
SHA1: B69D2CD88DDBE3595A3555C3A2E2567DE2D250A0
CRC32: 0FF1E28D
----------------------------------------------



据说也是锁机的。。
用PEID查了下，VC++6.0，无壳！
载入OD。。
没有netuser命令
试试第二种方法：改后缀为.txt
然后搜索 买密码
看到了，够坑爹的啊
看来skull2014应该是密码了
附上2枚样本，想玩的请在虚拟机玩，第二枚的密码没有经过验证，所以可能不对（如果可能，在虚拟机玩成功的麻烦回个贴呗。。）。。
样本2太大，8MB，，网盘下载链接: http://pan.baidu.com/s/1mgoNwSS 密码: drvw压缩包密码:52pojie（狗X的百度，吞哥2个链接！李彦宏，你妹的！！）

Sp4ce

H2o 发表于 2014-6-26 10:31
然后再次分析QQ.exe  即可得后台

那你来吧。。可能在释放的同时锁电脑，没安虚拟机，不敢在物理机玩。。

Sp4ce

微笑嘻嘻 发表于 2014-6-26 10:47
我也查看过
同时下载一个19M的文件，然后消失了

链接: http://pan.baidu.com/s/1mgBObTA 密码: qtnr
新的链接

H2o

你运行一下 验证一下！

Sp4ce

H2o 发表于 2014-6-26 10:23
你运行一下 验证一下！

你妹！第二个这货运行后在C根目录下释放QQ.exe，不敢！

H2o

轩少 发表于 2014-6-26 10:29
你妹！第二个这货运行后在C根目录下释放QQ.exe，不敢！

然后再次分析QQ.exe  即可得后台

H2o

轩少 发表于 2014-6-26 10:32
那你来吧。。可能在释放的同时锁电脑，没安虚拟机，不敢在物理机玩。。

直接复制超链接下载分析

微笑嘻嘻

第二个密码就是那个

Sp4ce

H2o 发表于 2014-6-26 10:40
直接复制超链接下载分析

→_→你来吧。。。那里面还有个VBs文件，不知道干什么的

微笑嘻嘻

连接消失了

微笑嘻嘻

下载QQ.EXE的那个
QQ.EXE应该是远程木马