一、病毒简介

CTB-LOCKER敲诈者病毒最初是在国外被发现的,该病毒是有两部分组成分别是下载器部分和文档加密部分。病毒作者将下载器程序部分伪装成邮件附件发送给一些大公司的员工或者高管,当这些人下载了邮件里的附件,解压邮件附件运行如.src等格式的文件以后,电脑里很多格式的文件都会被加密,并且还会出现如下的提示画面(图1)以及桌面壁纸被修改(图2)所示。

一、病毒信息

病毒名称:Trojan-Downloader.Win32.Cabby.cbtj

样本名称:ranking.scr

样本大小:28672 字节

样本MD5:AB29C66146FEE3A7EC055B1961087256

样本SHA1:BF377E3CD54B9EF3FC0EBCA2240DE4A49638A883

二、病毒脱壳

CTB-LOCKER敲诈者病毒有两部分组成,暂时只分析该病毒的下载器部分。CTB-LOCKER病毒的下载器程序文件的反汇编指令中有很多的垃圾指令,不是那么容易上手分析,加入垃圾指令目的是为了阻止病毒分析人员的分析,但是需要强调的是该样本

中虽然有很多的垃圾指令,脱壳还是很有规律的,并且脱壳以后的PE文件还是比较容易反汇编的。

下面是OD直接反汇编的截图:

CTB-LOCKER敲诈者病毒样本脱壳调试的时候有一个比较明显的特点:OD动态调试时,应该在跳转指令如Jmp和一些关键Call调用的地方下F2断点,接着F9运行,然后再继续在跳转指令如Jmp和一些关键Call调用的地方下F2断点,如此反复,直到出现Jmp [eax]类似的指令再慢慢调试。截图如下:

Enter跳到地址00401DF4处,按照上面的步骤在跳转指令和关键Call的地方下断点,然后F9运行调试。

如此反复重复上面的操作,进行动态调试:

动态调试运行到如下图的状态,说明里脱壳的地方不远了:

终于找到了目标指令JMP DWORD PTR DS:[ESI]:

经过不懈的努力,终于找到了目标PE文件的内存Dump地址008F0000处。

选中内存地址008F0000以后的所有的二进制内存数据,然后如图所示进行二进制数据的内存拷贝。

内存PE文件的数据已经被拷贝出来了。用WinHex创建一个新的空白文件打开,然后将刚才拷贝的二进制内存数据,Ctrl+C拷贝到该空白文件中并保存,如图所示:

前面截图截了那么多页挺累的,其实还有一个一步到位Dump目标PE文件的方法,就是在函数 VirtualProtect和 VirtualProtectEx的地方下断点,如图所示:

F9运行程序,如下图,采取上面提到的手工Dump PE文件的方法就可以从内存获取到目标PE文件了。

四、病毒分析

现在好了,可以快乐的分析病毒样本了,选择OD或者IDA都OK。

笔记到此为止,可以拍砖了。

CTB-LOCKER敲诈者病毒下载器脱壳之样本1相关推荐

  1. CTB-Locker敲诈者病毒下载器分析

    一. 样本基本信息 样本名称:927354529512.scr 样本大小:110592 字节 病毒名称:Win32.Trojan.Ctb-locker.Auto 样本MD5值:3A6D7E551C13 ...

  2. 病毒下载器利用搜索引擎广告推广,推装超过30款软件

    腾讯安全御见威胁情报中心发现一病毒团伙通过伪装多款知名软件的官方下载站传播病毒下载器,其传播渠道是通过购买搜索引擎广告来获得流量,被病毒团伙使用的关键字包括谷歌浏览器.flash player等知名软 ...

  3. Android最新敲诈者病毒分析及解锁

    一.情况简介 从去年开始PC端的敲诈者类病毒在不断的爆发,今年年初的时候手机上也开始出现了敲诈者之类的病毒,对这类病毒很无语也是趋势,因为很多时候病毒的产生是和金钱利益相关的.前天去吾爱破解论坛病毒样 ...

  4. Android最新敲诈者病毒分析及解锁(11月版)

    一.样本信息 文件名称:久秒名片赞,(无需积分s)(2)(1)(1).apk 文件大小:1497829字节 文件类型:application/jar 病毒类型:Android.CtLocker 样本包 ...

  5. 【PC工具】更新免费文库文档下载器,免费下载文库文档

        之前分享的大圣文库开始收费了(WC),今天更新一个更简单的方法,不用下载安装软件,直接在豆丁文库域名后增加365即可,百度文库不行,百度文库域名加vvv的方法我今天(191218)测试已经不好 ...

  6. 【PC工具】更新免费文库文档下载器,破解文库下载器,免费下载文库文档

    上次分享的大圣文库1.26版本的用不了了,运行就弹窗让更新(有时间再研究一下怎么废掉弹窗),更新后要钱....总结就是这个软件不是什么破解版,要钱了,我又被坑了(讲道理我也能理解,道理我都懂,但是.. ...

  7. 电脑下载软件用什么软件好?安卓手机下载软件用哪个软件好?IDM下载器说:在做的都是弟弟

              大年初五,迎财神,先祝大家新的一年财源滚滚,接下来为大家分享超级经典的IDM下载器,电脑端毫无争议的下载工具,安卓平台idm也是力压群雄,下面就为大家详细分享下: 1:1DM+下载 ...

  8. 穿过网络防火墙监视的木马下载器(转)

    7月5日:今日提醒用户特别注意以下病毒:"下载器变种jk"(Win32.Troj.Downloader.jk)和"小魔女变种aa"(Win32.Hack.Lit ...

  9. .NET破解之太乐地图下载器【非暴破】

    不知不觉,接触破解逆向已经三个月了,从当初的门外汉到现在的小白,这个过程只有经历过才知道其中的苦与乐: 有无知.困惑.痛苦.惊喜.彻悟.欣慰-- 有无助的软件脱壳,茫然的代码分析,有无趣的反复测试, ...

最新文章

  1. 2018-3-10论文(网络评论中非结构化信息表示与应用研究)-----综合评价的实例
  2. 2.变量/字符串/if/while/数据类型
  3. Java的IO操作(二) - 带缓冲区的流对象、写入基本数据类型、实现命令行中的copy命令...
  4. ROS kinect:OpenNI读取深度图像与彩色图像
  5. 转:canvas--放大镜效果
  6. jquery ajax 跨域_Laravel 的跨域问题解决方案
  7. 配置sdk的环境变量
  8. html解决页面放大后元素乱排的问题
  9. 什么是平面设计?平面设计主要做什么?
  10. Windows超级管理器,电脑必备神器,内置超多实用小工具,帮你解决电脑相关问题!
  11. RC并联电路传递函数用MATLAb,RC电路(一)RC串联、并联电路详解
  12. 数据结构实训之——哈夫曼树压缩文件和解压文件(C语言)
  13. 路由器怎么安装和使用详细
  14. OpenCV基础应用4.边缘检测
  15. 连锁不平衡的计算以及LDSC分析多基因遗传
  16. 百度云加速 ajax,百度云加速或360网站卫士关于WordPress评论缓存的巧妙设置
  17. 深度学习(目标跟踪和目标检测)--边界框bbox坐标转换(任意格式【list,numpy,tensor】、任意维度【向量、一维矩阵、二维矩阵】)
  18. 手机App-手机端QQ群文件下载失败,使用WiFi可以下载但是流量就不行
  19. 关注疫情调查实践报告
  20. ADAU1452DSP+E2PROM自启动运行

热门文章

  1. NLP:自然语言处理技术之词语级别相关术语解释(如上位词/WordNet)、基于词汇层面的词法分析六大任务(分词/词性标注/词干提取-词形还原/新词发现/形态分析/拼写校正)的简介及其应用
  2. Present Perfect Simple
  3. 【每日一题】 1518. 换酒问题
  4. WWW22: CAUSPref_Causal Preference Learning for Out-of-Distribution Recommendation
  5. WMS(WindowManagerService)分析
  6. 文档怎么翻译?文档翻译工具有哪些?
  7. JAVA计算机毕业设计幼儿健康管理系统Mybatis+源码+数据库+lw文档+系统+调试部署
  8. mac中R语言图片无法显示中文的问题完美解决
  9. ffmepg实践系列之--硬解接口实现
  10. 疫情下的远程办公与桌面分享