简析"千层饼"式伪装方式的病毒

文章预览

本文为看雪论坛精华文章 看雪论坛作者 ID：1行     目录 前言 流程 详细分析       第一层文件       第二层文件 AndroidStudio.dll       第三层文件 Phobos勒索病毒 总结 前言 有天看到一个分析Dridex银行木马的报告，想到自己对银行木马没什么了解，所以就从any.run上根据Dridex标签下载了一个样本来分析，结果分析到最后发现是一个Phobos勒索病毒，不过这个变种的伪装方式还是有分析价值的。 流程 利用CVE-2017-11882漏洞，在Excel文件打开时下载第一层恶意样本，第一层样本从资源段释放第二层恶意DLL，第二层恶意DLL利用第一层样本中的图片资源，异或解压缩提取出最终勒索病毒。 详细分析 恶意程序利用CVE-2017-11882漏洞下载主体文件。 下载恶意程序： 但是网站已经挂了： ………………………………