样本名称:TaBAccelerate.dll

样本大小:1135104 字节

样本MD5:7AEF6EEECB37685D17F3D9BD76FA9EA0

样本SHA1: EB1E5ABA7C37973BAF0576D953E29D515F29EF1C

一、查壳

在样本的分析和鉴定的时候,不是一拿到样本就开始使用IDA或者OnllyDebug进行反汇编的分析,推荐先用查壳软件对样本进行壳的侦测或者用StudyPE看下样本的每个区节的分布,然后再着手分析。这个样本是一个Dll文件,并且在样本的指令中有很多的垃圾指令阻碍样本分析员对样本进行分析。

很明显该样本已经进行了加壳的处理,具体是什么壳也不用深究的,因为在样本的最终执行过程中,被加壳的代码最终都会在内存中显示出来。

二、分析

对于加壳处理的PE文件,大多时候IDA是无能为力的,只能使用动态反汇编软件。OD还是比较好用的,这里用OD载入该样本,但是经过调试发现,之前能够用的调试方法都不奏效,也尝试过在JMP指令处下断点,进行程序的动态调试跟踪,跟踪了一段时间,最终还是无奈的放弃了,后来想到在程序的加壳的程序在运行时会解壳,在解壳的过程中,必然会使用VirtualAlloc、VirtualAllocEx、VirtualProtect、VirtualProtectEx等一些函数,因此可以尝试在这些函数的地方下断点调试。这里使用无爱破解论坛提供的最新版的OD进行调试,如图设置程序的VirtualProtect断点:

OK,点击确定VirtualProtect断点就设置好了,F9执行运行程序,然后程序就会停在我们需要的关注的地方,如图:

此时,使用快捷键Ctrl+N并不能获得比较有用的信息,如图:

三、鉴定

尽管程序的调试到了一个比较理想的状态点,但是后面的分析中发现,解压的这些指令仍然有比较多的垃圾指令,不是一个比较典型的样本,没有分析的必要,自身原因(反汇编的能力有限)。此时,虽然不能很明显的获取到一些信息,但是不要失望,OD的字符串插件会提供很多比较有用的信息,如图:

截图中的一串字符串很显然是解密使用并且Base64编码 就是这么用的,具体的参考:http://iffiffj.iteye.com/blog/618713;该样本还会通过修改注册表启用Activex控件更改Internet 区域的保护等级,具体的参考:http://blog.csdn.net/wangqiulin123456/article/details/17068649。




对淘宝用户的数据进行采集然后进行模拟POST数据的提交。


具体的可以参考网址:


http://bbs.csdn.net/topics/390591352?page=1


http://www.sufeinet.com/thread-11842-1-1.html






从下面的网址中下载恶意的程序AliMM.exe和AliMM.dat到本地的%APPDATA%目录下.


http://www.liasd.net/6yuj/web.htm


http://www.liasd.net/6yuj/Web.dat




登录网址http://www.liasd.net看到的,如图:




网址http://www.liasd.net是服务器代理公司。




运行从恶意网址下载的%APPDATA%目录下的AliMM.exe程序,由于程序AliMM.exe拿不到就不展开分析了。我猜测AliMM.exe程序运行以后会对360的主动防御和360tray.exe以及淘宝的软件ALIIM.EXE做点恶意的操作。






获取到的IP地址:69.30.236.34,这是代理服务器公司的IP地址。




获取到的网址,经过登录验证都是指淘宝的登录主页。


https://trade.taobao.com/trade/json/order_address_info.htm?biz_order_id


trade.taobao.com/trade/detail/trade_item_detail.htm

    member3.taobao.com/member/user_profile.jhtml


i.taobao.com/my_taobao.htm?nekot=trade.taobao.com/trade/detail/trade_snap.htm?itemId: rate.taobao.com/rate.htm?userId=trade.tmall.com/detail/orderDetail.htm


http://trade.taobao.com/trade/itemlist/list_sold_items.htm?spm=a1z02.1.1997525073.3.WEqHsV


http://trade.taobao.com/trade/itemlist/list_sold_items.htm?pageNum=2


http://trade.taobao.com/trade/itemlist/list_sold_items.htmevent_submit_do_query=1&closeorder_flag=1&isArchive=false&isArchiveDefault=0&user_type=1&pageNum=%d&order=desc&order_type=orderList&isQueryMore=false&select_shop_name=&isOwnOfficialShop=false&sellerNumID=%s&from_flag=&timeStamp=&sessionID=&authType=1&aucti


这里只是得到了一些网址,并且这些网址都是指向淘宝的登录页面,具体的做什么鬼,我也只是猜测,也没那个精力去分析。






总结,可能这个样本还不全,只是病毒样本中的一个,但是样本的具体详细的行为,不清楚,因为即使这样还是有很多的垃圾指令,汇编代码还是很难分析,并且关键的样本AliMM.exe也没能获取到。不过更多的消息,可以参考下面的网址:http://bbs.taobao.com/catalog/thread/154526-1127439-18.htm。


笔记到此为止,欢迎拍砖指正。
												


											

淘宝欺骗病毒的鉴定--TaBAccelerate.dll相关推荐
	

    
								
  1. 阿里回应“拼多多员工淘宝账号被封”;微信脸书合办新冠病毒黑客马拉松;Kubernetes 1.18发布 | 极客头条...
		
    整理 | 郭芮 头图 | CSDN 下载自视觉中国 快来收听极客头条音频版吧,智能播报由标贝科技提供技术支持. 「极客头条」-- 技术人员的新闻圈! CSDN 的读者朋友们早上好哇,「极客头条」来啦, ...
    
		
    2. 
						
  2. 勒索病毒全球肆虐 淘宝卖家恢复文件坐地起价趁火打劫
		
    爆发于5月12日的wannacry(中文译为"想哭")蠕虫式勒索病毒,已经给包括中国.俄罗斯.美国.英国等在内的超过100个国家和地区数十万台计算机造成影响,教育.医疗.化工.能源 ...
    
		
    3. 
						
  3. 非典逼出了淘宝和京东,新冠病毒能够逼出什么?
		
    loonggg 读完需要 5 分钟 速读仅需 2 分钟 大家好,我是你们的校长. 我知道大家在家里都憋坏了,大家可能相对于封闭在家里"坐月子",更希望能够早日上班.今天我带着大家换 ...
    
		
    4. 
						
  4. 解决淘宝旺旺无法运行的问题。。
		
    昨天开始,旺旺就一直无法使用.. .一运行,就提示: wangwang.exe-应用程序错误 应用程序正常初始化(0xc0000034)失败.请单击"确定",终止应用程序. 但是阿 ...
    
		
    5. 
						
  5. 一个淘宝客劫持木马的分析
		
    一个淘宝客劫持木马的分析 近期,我们收到很多淘宝卖家的投诉,报告说他们的淘宝联盟付费推广被莫名奇妙地扣除了一部分,而这个商品是没有经过推广的.360病毒响应中心的工程师收 到投诉后,经过一系列的分析和 ...
    
		
    6. 
						
  6. 博士在淘宝“扫垃圾”
		
    金磊 发自 凹非寺 量子位 报道 | 公众号 QbitAI 相信在座各位网上冲浪时,总会遇到一些"葬爱家族"式的文字: "胃♡"."叩-裙" ...
    
		
    7. 
						
  7. C#调用淘宝API流程整理
		
    对于开发者: 申请成为开发者 创建一个应用,会得到应用的App key和App Secret,其中App Key是公开的,而App Secret是只有开发者才知道的. 用户如何使用: 查询不需要验证的 ...
    
		
    8. 
						
  8. 进阶的“车厘子自由”,进化的“淘宝特价版”
		
    文|螳螂财经 作者|陈小江 将农产品商品化,已成为社会共识.但要将共识变成常态,这中间还有不少距离--标准化.规模化.品质化都是要解决的问题. 通过电商推进农产品商品化,是一个重要方向. 只不过,传统 ...
    
		
    9. 
						
  9. Python《使用Selenium 和pyautogui 实现自动登录淘宝》
		
    有了上一博文学习即基础,这一节想来学习下自动登录淘宝. 直接整上测试代码: from selenium import webdriver # import logging import time fr ...
    
		
    10. 
		


					

最新文章
	

    
						
  1. RPC是什么?为什么要学习RPC?
		
    2. 
						
  2. ntbackup 创建卷影复制:ffffffff 时出现错误
		
    3. 
						
  3. 初步的看一下C#窗体程序的直接反汇编代码
		
    4. 
						
  4. TTThumbsViewController 由 4张 改为 3张的方式 增补
		
    5. 
						
  5. java使用stream将List转为Map
		
    6. 
						
  6. VTK:图像方差用法实战
		
    7. 
						
  7. php漏洞论坛,PHPWind超级漏洞简单用
		
    8. 
						
  8. 怎么用计算机改变声音的音调,调音台使用教程大全
		
    9. 
						
  9. Hive SQL 窗口函数
		
    10. 
						
  10. java tcp怎么拆包_Java网络编程基础之TCP粘包拆包
		
    11. 
						
  11. 世界各国与中国时差查询
		
    12. 
						
  12. 内连接、左外连接与右外连接的区别及作用介绍
		
    13. 
						
  13. nodejs进程守护神forever
		
    14. 
						
  14. python+opencv实现人脸识别|采用现成训练好的模型
		
    15. 
						
  15. 输入法不见了,咋办?输入法不能开机启动咋办?
		
    16. 
						
  16. c语言转义字符c,C语言转义字符
		
    17. 
						
  17. ATmega16开发板教程(2)——KEY点灯
		
    18. 
						
  18. 【Java开发者专场】阿里专家梁笑:2018双十一下单成功率99.9%!供应链服务平台如何迎接大促... 1
		
    19. 
						
  19. 全球及中国润滑油市场调查及投资发展规模预测报告2022-2028年版
		
    20. 
						
  20. 训练人工智能机器人的软实力
		
    21. 
		

	


热门文章
	

    
									
  1. 距离“啤酒专卖店”诞生还有多久?
			
    2. 
						
  2. 2021年化工自动化控制仪表最新解析及化工自动化控制仪表新版试题
			
    3. 
						
  3. linux7.0 桌面教程,红旗桌面7.0的网络连接图解教程
			
    4. 
						
  4. 安卓中preferenceFragment的使用
			
    5. 
						
  5. 『3Dmax』建模技巧
			
    6. 
						
  6. 弘辽科技:拼多多农货“百亿补贴”逻辑正在改变
			
    7. 
						
  7. led屏背后线路安装图解_海南点击查看大型LED屏对外出租快速服务,黑底喷绘制作安装低价出租-强烈推荐-瑞阳庆典...
			
    8. 
						
  8. OpenGL 5.纹理,混合,矩阵变化
			
    9. 
						
  9. 高级openg 混合,一个完整程序
			
    10. 
						
  10. Windows7虚拟机无法安装 VMware Tools简单解决方法
			
    11.