|
葡萄美酒夜光杯,樣本分析來一回 |
|
作者: 佚名 日期:2018-07-18 19:07:37 來源: 本站整理
|
本帖最后由 JustPlay 于 2018-7-18 16:06 編輯
概述:
在某飯上發(fā)現(xiàn)的一個樣本,樓主還附加了視頻,看完之后,熱血澎湃,忍不住要分析一下。吸引我眼球的就是我的偶像,張家輝。“偶系渣渣輝” “里沒油玩過的船性版本。”
視頻地址:https://www.bilibili.com/video/av19358277
樣本分析
此樣本有8 MB之大,主要是因為里面有大量資源,包括音樂,圖片,可執(zhí)行程序等。通過運行會發(fā)現(xiàn),樣本具有修改屏保,文件圖標,文件的關聯(lián)程序,自啟動,藍屏等功能,下面我們一一來看一下。在更換圖標前,肯定需要先將圖標文件放到C盤根目錄下
上圖中的bat文件內容是assoc .exe=exefile,接著運行1.bat文件,修改系統(tǒng)中可執(zhí)行文件的圖標
接著在當前文件夾內釋放1.bmp(隱藏屬性),也就是相當火爆的“貪玩藍月”海報
設置注冊表實現(xiàn)自啟動
接著就會設置文件的關聯(lián)程序
設計的文件類型有28種,詳情如下:png,txt,WMV,jpg,iso,bin,exe,mp3,dll,mp4,VBS,AVI,7z,wav,sys,ico,bmp,GHO,ini,JS,GHOST,zip,rar,bat,lnk,gif。從沙箱的行為簽名中也可以清晰的看到
接著釋放并啟動xx.exe,這是一個下雪的背景,挺好看的,但是可別在主機上運行,他會覆蓋你的整個桌面,讓你無法操作系統(tǒng)。然后會創(chuàng)建一個名為“代碼.scr”的文件,并寫入一個PE,系統(tǒng)顯示為屏幕保護程序
運行效果如下(動態(tài)的),有沒有黑客帝國的感覺
最后就會使系統(tǒng)藍屏,所使用的方法也比較簡單,就是調用了三個函數(shù)CreateWindowStationSetHandleInformation 設置保護模式CloseWindowStation 關閉被保護的句柄,引起bug,造成藍屏
總結
雖然我個人是張家輝的死忠粉,看到貪玩藍月就像下載安裝,和偶像一起拼殺。但經(jīng)過這一波分析,我眉頭一皺,發(fā)現(xiàn)事情沒這么簡單。在這個樣本里竟然隱藏著如此秘密,看來從網(wǎng)上下載時一定要小心謹慎,以防電腦中毒,后悔不及。
參考鏈接
https://s.threatbook.cn/report/file/f8a62af57d83a408ea202d9455eb939acec5771753fd786de880f8a3cb5330a4/?env=win7_sp1_enx86_office2013&utm_campaign=analysis&utm_medium=tz&utm_source=Adconly&gio_link_id=noq5Nwok |
| |
