虚假中文版Telegram钓鱼样本详细分析

文章预览

安全分析与研究 专注于全球恶意软件的分析与研究 前言概述 原文首发出处： https://xz.aliyun.com/t/15863 先知社区 作者：熊猫正正 最近笔者发现一个虚假中文版Telegram钓鱼样本，对该样本母体加载程序进行了详细分析，分享出来供大家参考学习，不要从非官方网站下载安装应用，不然很容易中招。 详细分析 1.样本伪装为Telegram中文版安装程序，如下所示： 2.解析出安装程序的安装脚本，安装完成之后，会启动目录下的loFsoirtplugLaer.exe程序，如下所示： 3.安装完成之后，对应的安装目录文件结构，如下所示： 4.通过白+黑的方式，利用loFsoirtplugLaer.exe加载恶意模块python36.dll，如下所示： 5.恶意模块的数字签名信息，如下所示： 6.检测是否存在调试器，反调试操作，如下所示： 7.查询进程信息，反调试操作，如下所示： 8.通过Sleep、主机内存信息、CPU信息 ………………………………