Contents
构成
| 文件名 | sha1 | 注释 |
|---|---|---|
| 截图.bmp | b7f594a1966e3d86170d217fb6edf55bbf4b1475 | link |
| Au.exe | 056c5c9795131cb787cccfe19eeecb6175836403 | 白文件 |
| Reg.dll | f52d5de2123e1dc802237bb78db61027652605d9 | 伪装网盾 |
| Config.dat | 0f150392802759c33eed6266239f4a9a8cba5337 | |
| HD_Comm.dll | b85a6e7db920baac5f8268e60395f07f6757e45e | |
| DNF价格表.jpg | 2c12856cc88e98ca3d80e3c1d5b22cd09dcf2edc | |
| io.dat | aad8554c20d27c80ff2dfd5b5dac3316e1de674f | |
| TenioDL_core.dll | b85a6e7db920baac5f8268e60395f07f6757e45e | |
| load.exe | 056c5c9795131cb787cccfe19eeecb6175836403 | Au.exe |
| dllhost.exe | 898912356430702ed4d96beb8a0053a82869c7df | |
执行
执行顺序:
截图.bmp–>rundll32.exe–>Reg.dll–>HD_Comm.dll–>TenioDL_core.dll–>Au.exe
–>Config.dat–>QQGame.exe–>io.dat–>DNF价格表.jpg
如果运行Au.exe 会提示TenioDL_core.dll缺失
运行截图.bmp
生成TenioDL_core.dll
执行Au.exe
新建limit文件夹在路径下
分析
.\信誉新价格\截图.bmp
实际是一个lnk
%systemroot%\System32\rundll32.exe dat\reg.dll DriverInfo
.\信誉新价格\dat\Au.exe
带正规签名 正常软件 被利用的白文件
.\信誉新价格\dat\reg.dll
可能与华智大宝管理工具有关联
华智大宝管理工具是一款网盾,该样本签名失效,推测是伪装的文件,或者被修改过的文件。
根据lnk的内容 主要运行的.\reg.dll DriverInfo这一模块
存在目录中的隐藏dll 运行过程中调用了HD_Comm.dll
.\信誉新价格\HD_Comm.dll
脱壳
创建进程互斥 检测HD_Comm.dll存在
从路径中删除尾随文件名和反斜杠PathRemoveFileSpecA
将路径和文件名更正为.\dat\TenioDL_core.dll 复制到对应路径
检索包含指定模块的文件的完全限定路径GetModuleFileNameA
获取模块wow_helper 更正路径和文件名为.\dat\Au.exe
执行.\dat\Au.exe
sub_100016B0()解密./Config.dat
sub_10001000 解密后载入
sub_100014DE 载入模块wow_helper
./Config.dat
发现这个dat的文件头是MZ
解密文件
通过xdbg动态调试 然后dump解密后的内存 最简洁
文件大小通过.\config.dat 的大小确认64CF0
1, 选择 插件/Scylla 打开插件窗口
2, 选择 File/ Dump memory
解密后的文件sha1:29a161ac14fde538fb10e71bf8aefbe0c0bc16f8
PcMain.dll
模块:wow_helper、UserService
创建套接
遍历查询进程里是否存在金山安全软件
载入运行
释放运行QQGAME
最后释放图片
释放io.dat
io.dat 与DNF价格表.jpg 大小一直 推测io.dat解密后得到DNF图片
提取两个资源文件
Data_1.bin即dllhost.exe
./limit/dllhost.exe
载入模块
解密.\config.dat 并运行
load.exe被白利用的文件
发表回复