非常有意思的敲竹杠

昊情· · 发表于 2016-3-17 11:36:49

本帖最后由昊情· 于 2016-3-25 11:13 编辑

===================================

红客联盟&Milw0rm有奖活动

===================================

前天找学习资源的时候发现一大牛的百度网盘里有份敲竹杠，说是自制的，有点好奇所以看看安全软件杀不杀~

结果显示安全的

卧槽

安全？由于当时没时间本地分析，就上传到哈勃和火眼，，行为结果也说明了修改账户密码。。。但是为毛不杀呢？

接着这图会让你大吃一惊。。

360截图20160317110122803.jpg

纳尼什么只有360？其他免杀？然而360报的名称是启发引擎的，所以360也是查不出来的。。

那好吧，，我上报火绒

火绒工程师曰
360截图20160317110249339.jpg

我擦，我对他没信心了

然后我上报百度杀毒和360杀毒（为什么我只上报这两个，懒其他需要上论坛发帖，就他们两个有平台上传）

时隔一天360和百度都没有答复我我擦
只有今天百度才答复我

QQ截图20160317111134.png

昨天闲来有空就准备猪手分析样本

昨晚叫浮尘老弟帮我实机分析，他妹的没上火绒剑~

今天自个分析了行为

虚拟机装有百度杀毒离线版。。（虚拟机没网所以没有云），百度主防吃屎的吗？

居然过了百度杀毒。。。

第一次运行程序报错，看不到行为
火眼分析的图片有提示
哈勃就能运行起来

我哭了了，，火眼点评和哈勃文件检测评级（自己去看一会我发文件信息）

第二次再次运行
行为确实有修改账户密码

360截图20160317100127134.jpg

还好没有自动关机，还有我截图了，不然不知道密码了~~

行为看了后就看代码了

文件名称：工程1.exe
MD5：0becd9e99146cc611a657e12ed17ba98
Sha-1：4d6501311210111602580d1e6baefa9cdc72d3ad
文件大小：20KB
创建时间：2014-05-11 15:58:57
文件类型：EXE
PEID信息：Microsoft Visual Basic 5.0 / 6.0
文件版本：1.00
原始文件名：工程1.exe
产品名称：工程1
产品版本：1.00

VB程序，有工具直接看代码

QQ截图20160317112157.png

实现敲诈代码

是不是觉得作者好贱？

为什么免杀了，应该利用了"GetUserNameA"，引擎并没有相关分析罢了吧。。

样本我就附上了，大家电脑上有检测不出来的安全软件的话请大家动下手指上报下，谢谢了~

昊情· · 发表于 2016-3-17 13:12:47

文件已经打回了。

昊情· · 发表于 2016-3-17 11:37:33

还好昨天老浮的电脑没锁不然，呵呵了，只能用PE了

Te5tB99 · 发表于 2016-3-17 12:28:39

百度给你发邮件的那个截图，内容跟不发有区别么？也没说结果啊。

浮尘 · 发表于 2016-3-17 12:36:26

差点被你坑死了

wuyan · 发表于 2016-3-17 12:39:17

傻逼i，不参加活动了？有奖品的哦，改好格式

昊情· · 发表于 2016-3-17 13:12:15

白哥哥发表于 2016-3-17 12:28
百度给你发邮件的那个截图，内容跟不发有区别么？也没说结果啊。

百度喜欢说官话，明白吗。。。

昊情· · 发表于 2016-3-17 13:16:53

wuyan 发表于 2016-3-17 12:39
傻逼i，不参加活动了？有奖品的哦，改好格式

这东西不值得参与活动~，把名额留给其他人吧！

clocks · 发表于 2016-3-17 18:44:13

这个可以坑人啊

Silence7 · 发表于 2016-3-17 19:40:17

为毛没发源码？？？

非常有意思的敲竹杠

评分

点评

点评

指导单位

旗下站点

联系我们