针对一个有意思的钓鱼免杀样本的详细分析

文章预览

原文首发出处： https://xz.aliyun.com/t/15022 先知社区 作者：熊猫正正 近日跟踪到一个钓鱼样本，比较有意思，沙箱没有跑出行为，如下所示： 针对这种沙箱跑不出行为的免杀对抗型样本，都值得深入的分析和研究，笔者对这个样本进行了详细分析，分享出来供大家参考学习。 详细分析 1.钓鱼样本解压缩之后，如下所示： 2._MACOSX目录下的文件信息，如下所示： 3.LNK快捷方式相关信息，如下所示： 4.调用执行对应目录下的VBS脚本，VBS脚本内容，如下所示： 5.重命名目录下的相关文件并启动DS_Strore.exe程序，最后执行PING操作，如下所示： 6.DS_Strore.exe程序,主函数代码，如下所示： 7.直接定位到关键函数，如下所示： 8.分配内存空间，然后将ShellCode代码拷贝到分配的内存空间，如下所示： 9.拷贝完成之后，再跳转执行到分配的内存空间ShellCode代码处，如下所 ………………………………