样本来源

VT4 样本1X_病毒样本 分享&分析区_安全区 卡饭论坛 - 互助分享 - 大气谦和!

感谢分享~

初步研判

SHA256：e9d9c08378112e060ea4c94f06c016108c300d291a48a507b771598db2e03eec

文件使用Smart Install Maker打包，对于文件本身就不多看了，直接看释放的文件

在文件运行后可以看到先是释放了很多文件，但是没有看到外连，应该是被反沙箱拦住了

不过从行为上可以看到一部分检测，猜测与评论中的回滚相关

行为分析

进程行为

如图所示，创建overseer进程

文件行为

文件运行后在桌面创建了360安装包(带数字签名)的lnk

再往细看，发现给我装了好多奇奇怪怪的软件。。但是都是安装包还得我自己点？应该都是伪装

注册表行为

没发现维权行为

但是这做戏做全套，没有Uninstall.exe还要加上注册表信息

网络行为

有外连行为，本来以为是下载360安装包的内容，结果位置不在国内

ip比较可疑

详细分析

前面总共是释放了360，有道的压缩包，在overseer - 副本.exe中连接了avast的下载网址，最后放出了白加黑的notepad++目录

1 2	这是连接的网址，应该是白的，这个应该就是上面的ip域名了 https://s-overseer.avcdn.net/tools/avast/overseer/x64/overseer.exe.def

本想从overseer - 副本.exe开始跟踪，奈何实力有限，我们就直接看二段释放的GUP，也就是notepad++

我们单独做网络分析，可以发现其访问了如下ip

在x社区中可以看到该ip已判黑

我们看到和正常的文件对比，多了两个加密文件，然后libcurl.dll被改写，数字签名掉了

可以看到如下主程序CUP调用了同目录下的黑dll

方便起见，就不一步一步分析了，直接全下断点，看看url什么时候被发送

后续查看检查了进程中的安全软件进程

我们后续在ws2_32 api下断，直接就断到了ip，然后查看堆栈，，发现在内存中，是一个pe文件，我们试试在创建内存时下断

我们重新执行，可以看到获取了读取了加密数据，然后下一个内存就可以获取到pe文件

我们下内存断点可以发现key为如下所示

我们根据以上信息可以得出，加密数据是由LICENSE来的，之前没注意看

然后我们下内存断点就可以取出没有内存对齐的正常dll了，不过还有其他办法

我们也可以使用pebear把内存对齐，就可以正常分析了

这就是载荷了，我们对此文件进程分析，可以了解其基本的信息

创建互斥体

如果是分析环境就不链接c2

c2如下

IOC

1	27.124.32.36