判断可能具有反虚拟机能力,据传有穿透虚拟化能力,打开软件无效果,初步判断套了软件壳
打开过检测的虚拟机,据说会加密win10,
因此拿win7进行检测,这是网友分享的据说是原版的样本
下载进行测试,发现360大爷直接报毒
关闭360和360相关的安全模块,为了宿主机安全起见,断开虚拟机网卡,且拍摄快照,打开宿主机两个安全软件
直接赋予管理员权限运行
可能是因为win7的缘故,我没能见识到他的发作,只有一个怪异的页面。说明缴纳0.05的BTC。但是,,这方方块块的边框是怎么回事???巨眼熟有没有。
???
真的是似曾相识,有点眼熟啊。
莫非我拿的真的是假的??
反编译试试看
直接丢到OD里面,在搜索ASCII和Unicode,还卡住了,还有这乱糟糟的内容,一定具有加密壳
等了5分钟终于载入出来了,然后翻着翻着看到这个区块。
我4不4发现了什么不对劲的东西,这个完美的程序为什么有如此怪异的名字?
好像是有点像?
and。。。。
这个奇妙的字段又代表着什么。。。
继续翻看数据内容,发现调用了打印机的借口?人类迷惑行为。
这么壕无人性的程序您居然是用易语言写的???
放在微步云沙箱测试看看
还发现发起了TCP连接,目标疑似是一个谷歌云的北京节点(为啥在国内诶?)
从另外一份分析中看出,这个地址不是唯一的,经过直接访问,发现是谷歌云CDN节点
对于为什么有一个访问谷歌的CDN地址,我做出如下两个判断
1.程序可能调用其作者部署在网站上API接口来验证是否为正确密匙。 2.可能还存在一个核心的解密程序,分发在谷歌云的CDN上来实现全球操作
第一种问题倒是不大,吾本人倒是比较惧怕出现第二种情况,若这个程序纯粹只是一个用作验证秘钥的程序,那么用于真正解密的核心程序是否会在用户电脑上埋雷?这就无从考究了
看起来VMP壳的猜测是对的,但是依然不确定是否为易语言程序以及是否为源病毒。为此,我联系上了群内的一位逆向大佬,等待明天回音。
对于加密文件和传播,目前没发现这个EXE具有加密行为,也未进行除谷歌云的443端口外的其他端口的请求,严重怀疑拿到的是释放文件。
上图是据说原版的多个版本,在win7下均未出现问题,如前文所述如出一辙。
写到这里的时候,大佬也回了我的疑问。
大佬非常确信的验证了我的假想
总结:目前所测试的程序由易语言编写而成,不具有传播能力,外包VMP软件壳加密内容,反调试。且调用未知的谷歌CDN节点地址,疑似空壳或单一功能的释放文件。
后续如何请看明日后续