碰到个木马 - MD5效检工具 1.0

wanttobeno · 发表于 2015-10-10 10:00

在华军软件园下载了一款MD5效检工具 1.0
下载地址：http://www.onlinedown.net/softdown/99991_2.htm软件图标：

360并没有报毒，这个软件每次关闭的时候会弹网页。所以决定nop掉这个弹网页功能。

使用OD载入，搜索字符串，居然发现了不应该有的字符串，直接上图。

数据库链接

图一：操作数据库的字符串

可疑的API

图二：可疑的API

图三：危险的API,可隐藏执行程序

nop掉弹网页功能后，360就报毒了。剩下的就交给在线查毒去分析了。
virscan.org有个非常使用的功能行为分析。

图四：行为分析

在线查毒virscan.org报告结果，里面描述的很详细。:)
http://a.virscan.org/0c53e86f79425316504fd48a8e69945f

原件下载

md5.rar (285.42 KB, 下载次数: 7)

去弹窗，nop部分可疑代码，360不报毒

MD5效检工具NoAd.zip (322.19 KB, 下载次数: 22)

tusdasa翼 · 发表于 2015-10-10 10:02

话说就是有毒咯

苏紫方璇 · 发表于 2015-10-10 10:10

连接数据库可能是易语言支持库的东西

凌乱的风格 · 发表于 2015-10-10 10:48

软件捆绑插件，导致弹窗，杀软提示

SQ-Will · 发表于 2015-10-10 11:05

支持库的东西而已

每每 · 发表于 2015-10-10 13:02

不懂易语言

willJ · 发表于 2015-10-12 09:35

感觉是重新打包的一样

帐号		自动登录	找回密码
密码			注册[Register]

[PC样本分析] 碰到个木马 - MD5效检工具 1.0