判断可能具有反虚拟机能力,据传有穿透虚拟化能力,打开软件无效果,初步判断套了软件壳

打开过检测的虚拟机,据说会加密win10,

因此拿win7进行检测,这是网友分享的据说是原版的样本

下载进行测试,发现360大爷直接报毒

关闭360和360相关的安全模块,为了宿主机安全起见,断开虚拟机网卡,且拍摄快照,打开宿主机两个安全软件

直接赋予管理员权限运行

可能是因为win7的缘故,我没能见识到他的发作,只有一个怪异的页面。说明缴纳0.05的BTC。但是,,这方方块块的边框是怎么回事???巨眼熟有没有。

???

真的是似曾相识,有点眼熟啊。

莫非我拿的真的是假的??

反编译试试看

直接丢到OD里面,在搜索ASCII和Unicode,还卡住了,还有这乱糟糟的内容,一定具有加密壳

等了5分钟终于载入出来了,然后翻着翻着看到这个区块。

我4不4发现了什么不对劲的东西,这个完美的程序为什么有如此怪异的名字?


好像是有点像?

and。。。。


这个奇妙的字段又代表着什么。。。

继续翻看数据内容,发现调用了打印机的借口?人类迷惑行为。

这么壕无人性的程序您居然是用易语言写的???

放在微步云沙箱测试看看

还发现发起了TCP连接,目标疑似是一个谷歌云的北京节点(为啥在国内诶?)

从另外一份分析中看出,这个地址不是唯一的,经过直接访问,发现是谷歌云CDN节点

对于为什么有一个访问谷歌的CDN地址,我做出如下两个判断

1.程序可能调用其作者部署在网站上API接口来验证是否为正确密匙。
2.可能还存在一个核心的解密程序,分发在谷歌云的CDN上来实现全球操作

第一种问题倒是不大,吾本人倒是比较惧怕出现第二种情况,若这个程序纯粹只是一个用作验证秘钥的程序,那么用于真正解密的核心程序是否会在用户电脑上埋雷?这就无从考究了

看起来VMP壳的猜测是对的,但是依然不确定是否为易语言程序以及是否为源病毒。为此,我联系上了群内的一位逆向大佬,等待明天回音。

对于加密文件和传播,目前没发现这个EXE具有加密行为,也未进行除谷歌云的443端口外的其他端口的请求,严重怀疑拿到的是释放文件。

上图是据说原版的多个版本,在win7下均未出现问题,如前文所述如出一辙。

写到这里的时候,大佬也回了我的疑问。

大佬非常确信的验证了我的假想

总结:目前所测试的程序由易语言编写而成,不具有传播能力,外包VMP软件壳加密内容,反调试。且调用未知的谷歌CDN节点地址,疑似空壳或单一功能的释放文件。

后续如何请看明日后续

分类: 记录

天渊应龙圣神大帝-道锋潜鳞

天渊应龙圣神大帝-道锋潜鳞

以凡人之躯,承载天之道义

1 条评论

garuda0926@foxmail.com

garuda0926@foxmail.com · 2020年4月8日 下午10:29

因为此文断断续续写了半个小时,段落间语序语感可能衔接有点问题。
因此今日又稍作调整,并补充了一些后来的想法。
这里没能拿到原病毒测试分析,还是有点可惜了?

发表评论

电子邮件地址不会被公开。 必填项已用*标注