原帖(不要下载补丁!不要下载补丁!不要下载补丁!):
https://bbs.kfpromax.com/read.php?tid=1047167&sf=c7e
0x1 阶段一:
下载原帖里面的补丁,火绒秒杀:
然后查壳:EVB
脱壳后(EnigmaVBUnpacker)得到ch_cn_unpacked.exe和scenario.arc
0x2 阶段二:
对ch_cn_unpacked.exe上IDA,这data段那么长绝对有问题,dZyPwi.exe也有问题,明显不是需要焊化的galgame的主程序,怕不是在后面偷偷释放exe。
010 Editor搜MZSignature,好家伙,还真藏了一个完整的PE,直接复制出来:
0x3 阶段三:
对复制出来的PE查壳:aspack,xvlk_winxp_public能脱掉
上IDA看看里面有啥:
不是哥们,你一个焊化补丁要下啥东西,而且字符串为啥有bat?
直接上沙箱:
https://s.threatbook.com/report/file/99f8ededaeebc4ab9e54a5d62b9329ab03398c81d89c95f1ffed94cc80725cb0
嗯,创建bat,搞一堆文件,还访问
ddos.dnsnb8.net
,病毒跑不掉了131人购买,完啦
0xF 总结:
综合下来怕不是僵尸网络病毒,目前没装虚拟机,不敢动态调试,只能纯静态。
如果没有任何能力分析exe,当杀毒软件报毒(排除windows defender),请无条件信任你的杀毒软件!!!