简析"千层饼"式伪装方式的病毒
前言
有天看到一个分析Dridex银行木马的报告,想到自己对银行木马没什么了解,所以就从any.run上根据Dridex标签下载了一个样本来分析,结果分析到最后发现是一个Phobos勒索病毒,不过这个变种的伪装方式还是有分析价值的。
流程
利用CVE-2017-11882漏洞,在Excel文件打开时下载第一层恶意样本,第一层样本从资源段释放第二层恶意DLL,第二层恶意DLL利用第一层样本中的图片资源,异或解压缩提取出最终勒索病毒。
详细分析
恶意程序利用CVE-2017-11882漏洞
下载主体文件
下载恶意程序
但是网站已经挂了
不过从any.run
上下载了一个包含下载的恶意文件的pacp包,用NetworkMiner_2-5
把其中的恶意文件提取出来。
下载文件的版本信息,看着没撒事情,
本文转载:看雪安全,不代表 极安网 立场,转载请注明出处:https://secvery.com/815.html