本帖最后由 tmp00000 于 2017-12-11 14:16 编辑

最近论坛里面出现了具有迷惑性的 “VIP获取助手”, 宣称可以获取视频网站的 VIP 账号。那么，这些账号是哪来的呢？让我们找出来！ 下载了他们提供的软件之后，我们可以看到 “CSkin.dll“ 和 “VIP 获取助手.exe“。 ***图片停止解析*** 反编译 CSkin.dll 可以看出这是个被混淆过的皮肤包，里面是一堆控件。除了里面有 unsafe 代码以外看不出有什么可疑的地方。 ***图片停止解析*** 接下来是 VIP获取助手。把它用 Visual Studio 打开。 ***图片停止解析*** 先看看清单。里面有申请 UAC 管理员权限的声明。说明这个程序是有问题的。发几个 Http 请求就要管理员权限，多半是想搞木马才会这样做。 ***图片停止解析*** 下面的 WIN32EXE 资源格外显眼。打开看看。它们都是 PE 格式的文件，花样很多。倒着往上看。先把编号是 320 的那个 exe 取出来。 可以看到它的图标跟壳的图标是一样的。那把它取出来就说明脱壳成功了。现在再检查一下脱壳之后的部分有没有毒。 ***图片停止解析*** 反编译脱壳出的 exe。能它是用低版本的 C# 编译器编译出来的。里面的代码东拼西凑，各种命名习惯都有。这个程序看起来只是个爬虫，看不出有什么直接危害系统的代码。 ***图片停止解析*** 那么回来看看剩下的三个是什么东西。 149 里面有 UPX 字样。应该是个加壳的 EXE。壳里套壳估计是想做免杀。不过它已经暴露身份了。“SetHomePage.dll”, "Homeguard" 看一眼就知道是干啥的。 151,152 导入表写了一堆内核态的函数，其中 151 是驱动程序，152 看起来像一种驱动级别的调试器。一看就知道不是干好事的。 这个壳子本身的导入表里面有遍历，暂停，恢复，读写进程用的函数。说明它本身可能有害。