绿茶汉化组 Clover Heart’s焊化补丁 病毒分析

原帖(不要下载补丁!不要下载补丁!不要下载补丁!):
https://bbs.kfpromax.com/read.php?tid=1047167&sf=c7e

0x1 阶段一:

下载原帖里面的补丁,火绒秒杀:


然后查壳:EVB

脱壳后(EnigmaVBUnpacker)得到ch_cn_unpacked.exe和scenario.arc

0x2 阶段二:

对ch_cn_unpacked.exe上IDA,这data段那么长绝对有问题,dZyPwi.exe也有问题,明显不是需要焊化的galgame的主程序,怕不是在后面偷偷释放exe。


010 Editor搜MZSignature,好家伙,还真藏了一个完整的PE,直接复制出来:

0x3 阶段三:

对复制出来的PE查壳:aspack,xvlk_winxp_public能脱掉
image
上IDA看看里面有啥:


不是哥们,你一个焊化补丁要下啥东西,而且字符串为啥有bat?

直接上沙箱:
https://s.threatbook.com/report/file/99f8ededaeebc4ab9e54a5d62b9329ab03398c81d89c95f1ffed94cc80725cb0
嗯,创建bat,搞一堆文件,还访问ddos.dnsnb8.net,病毒跑不掉了

131人购买,完啦
image

0xF 总结:

综合下来怕不是僵尸网络病毒,目前没装虚拟机,不敢动态调试,只能纯静态。
如果没有任何能力分析exe,当杀毒软件报毒(排除windows defender),请无条件信任你的杀毒软件!!!

37 个赞

这玩意是汉化组官方发的汉化补丁么, 估计是不法分子弄的吧()

不清楚,等kf那边讨论先(

大佬太强了,话说你用哪个版本的IDA?

IDA 9.0 beta
https://linux.do/t/topic/256654

1 个赞

感谢指路!这下我也有新版IDA用了

好像是最后的补丁打包者的电脑中这毒,然后夹进去了

1 个赞

厉害啊,佬友。这么详细的脱壳分析

1 个赞

哇!太强了大佬

1 个赞

虚拟机运行了一下这个补丁,实锤蠕虫


image
附上捕获到的dZyPwi.exe的微步报告:
样本报告-微步在线云沙箱 (threatbook.com)

virustotal出现了70杀的盛景
VirusTotal - File - 4354970ccc7cd6bb16318f132c34f6a1b3d5c2ea7ff53e1c9271905527f2db07

1 个赞

这个是什么软件?

elastic

2 个赞

反而好奇起来哪三个没检出了()

补丁这俩字不就是病毒的别名么…