1. 极安网首页
  2. 网络安全技术

简析"千层饼"式伪装方式的病毒

前言

有天看到一个分析Dridex银行木马的报告,想到自己对银行木马没什么了解,所以就从any.run上根据Dridex标签下载了一个样本来分析,结果分析到最后发现是一个Phobos勒索病毒,不过这个变种的伪装方式还是有分析价值的。

流程

利用CVE-2017-11882漏洞,在Excel文件打开时下载第一层恶意样本,第一层样本从资源段释放第二层恶意DLL,第二层恶意DLL利用第一层样本中的图片资源,异或解压缩提取出最终勒索病毒

详细分析

恶意程序利用CVE-2017-11882漏洞下载主体文件
下载恶意程序

简析

但是网站已经挂了

简析

不过从any.run上下载了一个包含下载的恶意文件的pacp包,用NetworkMiner_2-5把其中的恶意文件提取出来。

简析

下载文件的版本信息,看着没撒事情,

简析

本文转载:看雪安全,不代表 极安网 立场,转载请注明出处:https://secvery.com/815.html