昊情· 发表于 2016-3-17 11:36:49

非常有意思的敲竹杠

本帖最后由 昊情· 于 2016-3-25 11:13 编辑

===================================

          红客联盟&Milw0rm有奖活动

===================================





前天找学习资源的时候发现一大牛的百度网盘里有份敲竹杠,说是自制的,有点好奇所以看看安全软件杀不杀~

结果 显示安全的

卧槽

安全?由于当时没时间本地分析,就上传到哈勃和火眼,,行为结果也说明了修改账户密码。。。但是为毛不杀呢?


接着这图会让你大吃一惊。。



纳尼 什么只有360?其他免杀? 然而360报的名称是启发引擎的,所以360也是查不出来的。。

那好吧,,我上报火绒

火绒工程师曰



我擦,我对他没信心了


然后我上报百度杀毒和360杀毒(为什么我只上报这两个,懒其他需要上论坛发帖,就他们两个有平台上传)

时隔一天360和百度都没有答复我我擦
只有今天百度才答复我




昨天闲来有空就准备猪手分析样本


昨晚叫浮尘老弟帮我实机分析,他妹的没上火绒剑~


今天自个分析了行为

虚拟机装有百度杀毒离线版。。(虚拟机没网 所以没有云),百度主防吃屎的吗?

居然过了百度杀毒。。。


第一次运行程序报错,看不到行为
火眼分析的图片有提示
哈勃就能运行起来

我哭了了,,火眼点评和哈勃文件检测评级 (自己去看 一会我发文件信息)


第二次再次运行
行为确实有修改账户密码






还好没有自动关机,还有我截图了,不然不知道密码了~~



行为看了后就看代码了


文件名称:工程1.exe
MD5:0becd9e99146cc611a657e12ed17ba98
Sha-1:4d6501311210111602580d1e6baefa9cdc72d3ad
文件大小:20KB
创建时间:2014-05-11 15:58:57
文件类型:EXE
PEID信息:Microsoft Visual Basic 5.0 / 6.0
文件版本:1.00
原始文件名:工程1.exe
产品名称:工程1
产品版本:1.00


VB程序,有工具直接看代码





实现敲诈代码




是不是觉得作者好贱?


为什么免杀了,应该利用了"GetUserNameA",引擎并没有相关分析罢了吧。。

样本我就附上了,大家电脑上有检测不出来的安全软件的话请大家动下手指上报下,谢谢了~




昊情· 发表于 2016-3-17 13:12:47

文件已经打回了。

昊情· 发表于 2016-3-17 11:37:33

还好昨天老浮的电脑没锁不然,呵呵了,只能用PE了

Te5tB99 发表于 2016-3-17 12:28:39

百度给你发邮件的那个截图,内容跟不发有区别么?也没说结果啊。

浮尘 发表于 2016-3-17 12:36:26

:funk:差点被你坑死了

wuyan 发表于 2016-3-17 12:39:17

傻逼i,不参加活动了?有奖品的哦,改好格式

昊情· 发表于 2016-3-17 13:12:15

白哥哥 发表于 2016-3-17 12:28
百度给你发邮件的那个截图,内容跟不发有区别么?也没说结果啊。

{:2_28:}百度喜欢说官话,明白吗。。。

昊情· 发表于 2016-3-17 13:16:53

wuyan 发表于 2016-3-17 12:39
傻逼i,不参加活动了?有奖品的哦,改好格式

{:2_28:}这东西不值得参与活动~,把名额留给其他人吧!

clocks 发表于 2016-3-17 18:44:13

这个可以坑人啊

Silence7 发表于 2016-3-17 19:40:17

为毛没发源码???
页: [1] 2 3 4 5 6 7 8 9 10
查看完整版本: 非常有意思的敲竹杠