非常有意思的敲竹杠
本帖最后由 昊情· 于 2016-3-25 11:13 编辑===================================
红客联盟&Milw0rm有奖活动
===================================
前天找学习资源的时候发现一大牛的百度网盘里有份敲竹杠,说是自制的,有点好奇所以看看安全软件杀不杀~
结果 显示安全的
卧槽
安全?由于当时没时间本地分析,就上传到哈勃和火眼,,行为结果也说明了修改账户密码。。。但是为毛不杀呢?
接着这图会让你大吃一惊。。
纳尼 什么只有360?其他免杀? 然而360报的名称是启发引擎的,所以360也是查不出来的。。
那好吧,,我上报火绒
火绒工程师曰
我擦,我对他没信心了
然后我上报百度杀毒和360杀毒(为什么我只上报这两个,懒其他需要上论坛发帖,就他们两个有平台上传)
时隔一天360和百度都没有答复我我擦
只有今天百度才答复我
昨天闲来有空就准备猪手分析样本
昨晚叫浮尘老弟帮我实机分析,他妹的没上火绒剑~
今天自个分析了行为
虚拟机装有百度杀毒离线版。。(虚拟机没网 所以没有云),百度主防吃屎的吗?
居然过了百度杀毒。。。
第一次运行程序报错,看不到行为
火眼分析的图片有提示
哈勃就能运行起来
我哭了了,,火眼点评和哈勃文件检测评级 (自己去看 一会我发文件信息)
第二次再次运行
行为确实有修改账户密码
还好没有自动关机,还有我截图了,不然不知道密码了~~
行为看了后就看代码了
文件名称:工程1.exe
MD5:0becd9e99146cc611a657e12ed17ba98
Sha-1:4d6501311210111602580d1e6baefa9cdc72d3ad
文件大小:20KB
创建时间:2014-05-11 15:58:57
文件类型:EXE
PEID信息:Microsoft Visual Basic 5.0 / 6.0
文件版本:1.00
原始文件名:工程1.exe
产品名称:工程1
产品版本:1.00
VB程序,有工具直接看代码
实现敲诈代码
是不是觉得作者好贱?
为什么免杀了,应该利用了"GetUserNameA",引擎并没有相关分析罢了吧。。
样本我就附上了,大家电脑上有检测不出来的安全软件的话请大家动下手指上报下,谢谢了~
文件已经打回了。 还好昨天老浮的电脑没锁不然,呵呵了,只能用PE了 百度给你发邮件的那个截图,内容跟不发有区别么?也没说结果啊。
:funk:差点被你坑死了 傻逼i,不参加活动了?有奖品的哦,改好格式 白哥哥 发表于 2016-3-17 12:28
百度给你发邮件的那个截图,内容跟不发有区别么?也没说结果啊。
{:2_28:}百度喜欢说官话,明白吗。。。 wuyan 发表于 2016-3-17 12:39
傻逼i,不参加活动了?有奖品的哦,改好格式
{:2_28:}这东西不值得参与活动~,把名额留给其他人吧! 这个可以坑人啊 为毛没发源码???