背景 前几天,在某社群中看到有用户往社群共享盘中上传一个名称为协议微信加好友的应用软件,并且在社群中宣称可以无限加好友和不需要通过对方确认就可以直接加好友。这种软件名称和宣传,从个人角度来看,应该就是个属于用钓鱼或远控的恶意软件。出于好奇心就下载了这个软件,并对这个软件进行了功能分析,也就有了这篇文章。基础分析 (切记:对未知来源和未知风险的软件不可直接在真机环境分析,上虚拟机!) 拿到样本后先通过杀毒软件直接查杀下,先对软件进行辨别下,一些病毒样本是杀毒软件已能查杀识别出的不安全的风险软件。 TrojanGameHack。ct:把它归类为木马病毒,这类病毒一般是通过网络或系统漏洞进入到系统并进行隐藏,破坏系统或正常软件的安全性,向外泄露用户的隐私信息。通过下图ExeInfoPe可以很直观看到,该样本不是一个正常的PE结构,因为这个PE工具第一个区段竟然是。data(数据区段),正常情况下第一个区段是。text(代码区段)。结合后面的分析,这个样本是正常的PE文件,只不过是将。text区段修改成为daima区段。 通过CFFExplorer工具分析该样本中的PE结构和该样本的依赖模块,发现该样本就是一个正常的PE文件,这个样本也并没有依赖样本作者自己实现或者第三方的dll模块,都是依赖系统模块进行实现的。 通过ResourceHacker资源分析工具分析了该样本新增了一个自定义的AAAA资源数据,正常情况下新增的资源数据都是用于存放要释放的exe应用程序或者dll模块。 功能分析 通过前面的基本数据的分析,对样本有了大概的了解,接下来就结合IDA工具和ollydbg工具分析下该样本的实际功能。结合样本的分析,这个微信协议加好友,仅仅是一个通过伪造成为微信图标的加载器,真正的木马病毒功能在于从样本中释放出来的应用程序。下面就进行详细的功能分析。 通过上图的IDA中伪代码分析这个样本的wWinMain函数也就是样本的入口函数,发现这个样本的整个函数流程也比较简单,就是通过调用系统函数FindSourceW查找自身应用中的AAAA的资源部分,找到这部分资源后将资源释放到系统的TEMP临时目录中,并进行调用SellExecuteW系统函数启动所释放的应用程序。启动后就采用bat文件方式进行自删除应用。 上图是该样本中实现自删除应用程序的功能,首先往system32目录下通过调用CreateFileW函数创建一个hfblddel。bat的文件,这个文件的内容就是判断自身样本是否还存在,如果存在就直接del掉,最后通过调用ShellExecuteW函数采用静默的方式执行bat文件的内容。 上图是通过启动样本后释放出来的应用程序:微骑兵配套版本、libcurl。接下来就是对这两个样本的实际功能分析。 通过实际对微骑兵配套版本的样本分析(应用程序的签名信息;比对真实应用的文件大小和大概功能),微骑兵配套版本的应用程序实际上就是微信的一个2。7。1旧版本的安装包,并没有做任何任务修改。这个病毒样本也应该就是借助微信应用程序2。7。1版本的某个漏洞做对应的所谓无门槛加好友功能。 Libcurl样本分析 这个libcurl程序也是通过基于MPlayer这个播放器进行修改伪装的恶意软件,这个应用程序的样本也没做好免杀功能,病毒查杀软件一扫描就被识别出来了,这么多套路下来免杀没做好也是个废材。并且这个应用程序也都没做样本的加壳保护,所以分析起来就没有门槛了,仔细分析下,这些所谓的病毒功能都一览无余了。 通过上图IDA的流程图中可以看出,该样本功能还是相对比较简单的,但这个也是假象,这个样本的实际功能还是比较强大的,它会通过调用CreateToolhelp32Snapshot创建系统快照,然后查找qq。exe进程对其进行实现注入功能,所以也是个注入型的木马病毒。 这个样本中采用TCP网络通信方式和服务端103。229。124。168(动态的IP,香港的IP地址)进行通信,这个通信目标就是通过收集运行环境中的敏感数据上传到服务器中。有了这些敏感信息这个攻击者就可以进行售卖敏感信息或者直接利用敏感信息进行二次攻击了。总结 1、微信加好友应用程序是个加载器,这个程序启动的时候会在临时目录下释放两个文件,等释放和启动两个文件后,这个程序就自动退出了。 2、微骑兵这个程序是微信正常旧版本的安装程序,就是为了复现旧版本的微信无限加好友漏洞。 3、Libcurl这个真正病毒功能的应用程序,这个程序有tcp的网络通信,这个程序除了操作微信外,还有对指定的程序进行遍历和注入qq。exe功能,属于注入类型的木马。当然它也还有一些其他功能,由于篇幅有限,这里就不进行详细展示了。 切记,对于未知来源和未知安全性的软件不可因为好奇心去下载点击,现在的网络钓鱼手段之所以能成功,一个很重要的因素就是借助人的好奇心。所以好奇心是能害死猫的。虽然这个样本的免杀功能没做好,没有躲过杀毒软件的查杀,但是总有那些不安装杀毒软件的用户吧。另外,对于这种不确定安全的软件的分析,还是得在虚拟机环境或者专门用于样本的分析环境中对样本进行分析。样本的分析可以重点关注于样本的构成部分、样本的运行时的动态调试具体功能分析、样本的文件读写行为、样本操作注册表行为(常用于自启动行为)、样本的网络通信行为。通过这几个行为的分析基本可以分析出样本的大部分功能。来源:小道安全 排版:老李
我嚼花生喂孙子,儿媳妇当着我的面逼他吐出来,我该怎么办?什么叫怎么办,本来就不应该嚼东西给孩子吃,孩子吃你嘴里吐出来的东西,想想都瘆人。设身处地为孩子想想,要是别人把嚼过的东西吐出来给你吃,你吃不吃?你儿媳妇没做错,她是为了孩子健康。帮现在很流行的产后骨盆修复,最便宜的据说还两千多,真的有必要吗?产后康复非常关键,然而一去月子中心或者做产康的机构打听,首推骨盆修复,其实真的有必要吗,视情况而定。产检时医院有免费的孕妇课堂,其中有一节是关于盆底肌修复的课程刚好被我听到,由于生女人生孩子的苦,没有一个男人可以理解,是这样吗?你怎么看?名言实践出真知。只有通过实践才体会到生孩子的苦。这是无法替代的本能。男人又没实践过怎么能知道?但,体会同情心疼女人怀孕生育养孩的男人大有人在。好男人还是有的。我们要为所有女性赞中国孕肚上的黑线有什么作用?产后会消失吗?我怀二宝的时候肚子上也有黑线,当时以为和老大的性别会不同,等出生才知道,都是一样的。不过生了宝宝后也就逐渐消失了。孕肚上的黑线有什么作用?产后会消失吗?这条黑色的线从医学上来讲,是为什么如今男生出现娘化现象,而女生出现女汉子现象?男生出现娘化是因为地位低,地位高有权有势有钱有资本的人绝对不会娘化。女人不能小鸟依人,说明现在是人人为了生活而奋斗,不拼命去干,生活难以维持,有权有势有地位家庭的女人不但不是女汉子广西威壮陕西信达和安徽文一的球迷请做好准备3月26日,也就是今天CBA商务高峰论坛上。CBA公司CEO张雄表示在赛事运营方面,CBA联赛会进一步提升竞赛管理水平。坚定信心,深化改革,妥善解决联赛发展当中的各种问题,全面提升蛟龙出水!中国花样游泳混双夺金,激励广东同行文羊城晚报全媒体记者龙希3月18日,在加拿大马克汉姆举行的2023国际泳联花样游泳世界杯第一站比赛中,中国组合石浩玙(男)程文涛(女)力压两对西班牙组合,赢得了混双技术自选比赛的冠索斯盖特拉什福德并不经常为英格兰出场,因此他缺阵算不上损失直播吧3月26日讯拉什福德因伤退出英格兰队,主教练索斯盖特接受采访时表示,对于一名不怎么出场的球员,你自然不会想念他。自2020年来,拉什福德第五次因伤退出英格兰队,他目前和未婚妻数字认证为什么会这么有市场?它的产品在医疗行业是不是应用很广?数字认证之所以能这么有市场,我认为还是得益于它的技术实力,无论在哪个时代,都是实力和技术造就口碑。数字认证参与过很多个卫生健康业务与电子认证服务相融合的规范制定,为医疗行业提供了各水豚是如何剿灭自身癌细胞的?我们知道,癌症的产生是因为细胞发生了变异。根据1977年流行病学家理查德佩托于提出的佩托悖论,细胞数量越多,因为基数越大,所以自然病变的几率越多,所以大型动物相对于小型动物,是更容公公得了癌症晚期已扩散,没有治疗方案,本人不知病情,不愿出院怎么办?能活6个月吗?我爸纵隔肿瘤晚期在广州南方医院治疗1年化疗8次放疗一个疗程30次。最后扩散至肺部。一直插鼻肠管,嘴巴不能进食,只能注射营养素。没碰到过这种事情都会选择治疗,就目前在医院一年间,大小