样本名称:TaBAccelerate.dll

样本大小:1135104 字节

样本MD5:7AEF6EEECB37685D17F3D9BD76FA9EA0

样本SHA1: EB1E5ABA7C37973BAF0576D953E29D515F29EF1C

一、查壳

在样本的分析和鉴定的时候,不是一拿到样本就开始使用IDA或者OnllyDebug进行反汇编的分析,推荐先用查壳软件对样本进行壳的侦测或者用StudyPE看下样本的每个区节的分布,然后再着手分析。这个样本是一个Dll文件,并且在样本的指令中有很多的垃圾指令阻碍样本分析员对样本进行分析。

很明显该样本已经进行了加壳的处理,具体是什么壳也不用深究的,因为在样本的最终执行过程中,被加壳的代码最终都会在内存中显示出来。

二、分析

对于加壳处理的PE文件,大多时候IDA是无能为力的,只能使用动态反汇编软件。OD还是比较好用的,这里用OD载入该样本,但是经过调试发现,之前能够用的调试方法都不奏效,也尝试过在JMP指令处下断点,进行程序的动态调试跟踪,跟踪了一段时间,最终还是无奈的放弃了,后来想到在程序的加壳的程序在运行时会解壳,在解壳的过程中,必然会使用VirtualAlloc、VirtualAllocEx、VirtualProtect、VirtualProtectEx等一些函数,因此可以尝试在这些函数的地方下断点调试。这里使用无爱破解论坛提供的最新版的OD进行调试,如图设置程序的VirtualProtect断点:

OK,点击确定VirtualProtect断点就设置好了,F9执行运行程序,然后程序就会停在我们需要的关注的地方,如图:

此时,使用快捷键Ctrl+N并不能获得比较有用的信息,如图:

三、鉴定

尽管程序的调试到了一个比较理想的状态点,但是后面的分析中发现,解压的这些指令仍然有比较多的垃圾指令,不是一个比较典型的样本,没有分析的必要,自身原因(反汇编的能力有限)。此时,虽然不能很明显的获取到一些信息,但是不要失望,OD的字符串插件会提供很多比较有用的信息,如图:



截图中的一串字符串很显然是解密使用并且Base64编码 就是这么用的,具体的参考:http://iffiffj.iteye.com/blog/618713;该样本还会通过修改注册表启用Activex控件更改Internet 区域的保护等级,具体的参考:http://blog.csdn.net/wangqiulin123456/article/details/17068649






对淘宝用户的数据进行采集然后进行模拟POST数据的提交。


具体的可以参考网址:


http://bbs.csdn.net/topics/390591352?page=1


http://www.sufeinet.com/thread-11842-1-1.html






从下面的网址中下载恶意的程序AliMM.exe和AliMM.dat到本地的%APPDATA%目录下.


http://www.liasd.net/6yuj/web.htm


http://www.liasd.net/6yuj/Web.dat




登录网址http://www.liasd.net看到的,如图:




网址http://www.liasd.net是服务器代理公司。




运行从恶意网址下载的%APPDATA%目录下的AliMM.exe程序,由于程序AliMM.exe拿不到就不展开分析了。我猜测AliMM.exe程序运行以后会对360的主动防御和360tray.exe以及淘宝的软件ALIIM.EXE做点恶意的操作。






获取到的IP地址:69.30.236.34,这是代理服务器公司的IP地址。




获取到的网址,经过登录验证都是指淘宝的登录主页。


https://trade.taobao.com/trade/json/order_address_info.htm?biz_order_id


trade.taobao.com/trade/detail/trade_item_detail.htm


member3.taobao.com/member/user_profile.jhtml


i.taobao.com/my_taobao.htm?nekot=trade.taobao.com/trade/detail/trade_snap.htm?itemId: rate.taobao.com/rate.htm?userId=trade.tmall.com/detail/orderDetail.htm


http://trade.taobao.com/trade/itemlist/list_sold_items.htm?spm=a1z02.1.1997525073.3.WEqHsV


http://trade.taobao.com/trade/itemlist/list_sold_items.htm?pageNum=2


http://trade.taobao.com/trade/itemlist/list_sold_items.htmevent_submit_do_query=1&closeorder_flag=1&isArchive=false&isArchiveDefault=0&user_type=1&pageNum=%d&order=desc&order_type=orderList&isQueryMore=false&select_shop_name=&isOwnOfficialShop=false&sellerNumID=%s&from_flag=&timeStamp=&sessionID=&authType=1&aucti


这里只是得到了一些网址,并且这些网址都是指向淘宝的登录页面,具体的做什么鬼,我也只是猜测,也没那个精力去分析。






总结,可能这个样本还不全,只是病毒样本中的一个,但是样本的具体详细的行为,不清楚,因为即使这样还是有很多的垃圾指令,汇编代码还是很难分析,并且关键的样本AliMM.exe也没能获取到。不过更多的消息,可以参考下面的网址:http://bbs.taobao.com/catalog/thread/154526-1127439-18.htm


笔记到此为止,欢迎拍砖指正。
												


											
淘宝欺骗病毒的鉴定--TaBAccelerate.dll的更多相关文章
	

    
								
  1. 淘宝WAP版小BUG分析
		
    前几天发现的一个淘宝WAP版的小BUG,就是用桌面版chrome看的时候产品评价中的图片显示不出来,都是图裂了. 这是什么原因呢?图片为什么会显示不出来呢?淘宝的技术人员.测试人员不可能没发现啊.开启 ...
    
		
    2. 
						
  2. 淘宝IP地址库采集器c#代码
		
    这篇文章主要介绍了淘宝IP地址库采集器c#代码,有需要的朋友可以参考一下. 最近做一个项目,功能类似于CNZZ站长统计功能,要求显示Ip所在的省份市区/提供商等信息.网上的Ip纯真数据库,下载下来一看 ...
    
		
    3. 
						
  3. 淘宝开放平台TOP SDK调用对接淘宝或天猫
		
    如果在淘宝/天猫上开了网店,用户自己也有一套自己的管理平台,这时可能会考虑和淘宝进行数据对接.这就需要考虑调用阿里提供的开发接口来推送和接收数据. 对接的方式有2种,一种是通过http接口,另外一种是 ...
    
		
    4. 
						
  4. 淘宝IP地址库采集器c#
		
    个人原创.欢迎转载.转载请注明出处.http://www.cnblogs.com/zetee/articles/3482085.html 采集器概貌,如下: 最近做一个项目,功能类似于CNZZ站长统计 ...
    
		
    5. 
						
  5. Expression构建DataTable to Entity 映射委托  sqlserver 数据库里面金额类型为什么不建议用float,实例告诉你为什么不能。  sql server 多行数据合并成一列  C# 字符串大写转小写,小写转大写,数字保留,其他除外 从0开始用U盘制作启动盘装Windows10系统(联想R720笔记本)并永久激活方法 纯CSS打造淘宝导航菜单栏 C# Winform
		
    Expression构建DataTable to Entity 映射委托   1 namespace Echofool.Utility.Common { 2 using System; 3 using ...
    
		
    6. 
						
  6. 淘宝开放平台php-sdk测试 获取淘宝商品信息(转)
		
    今天想使用淘宝开放平台的API获取商品详情,可是以前一直没使用过,看起来有点高深莫测,后然看开发入门,一步一步,还真有点感觉了,然后看示例,还真行了,记下来以后参考.其中遇到问题,后然解决了.因为我已 ...
    
		
    7. 
						
  7. 云互联(http://www.yunone.com/)淘宝店铺名[格子窝]垃圾皮包骗子公司分析
		
    首先先给大家说明下我写这篇文章的初衷,本来也不想费神写这个的,可是忍无可忍,无需再忍,别人不犯贱,咱们何必跟人家较真呢? 在做渭南电脑维修网的同时,遇到了很多问题,使我受益匪浅,尤其是SEO方面的提升 ...
    
		
    8. 
						
  8. “四核”驱动的“三维”导航 -- 淘宝新UI(需求分析篇)
		
    前言 孔子说:"软件是对客观世界的抽象". 首先声明,这里的"三维导航"和地图没一毛钱关系,"四核驱动"和硬件也没关系,而是为了复杂的应用而 ...
    
		
    9. 
						
  9. 淘宝UWP中的100个为什么
		
    从淘宝UWP第一版发布到现在,已经有十个月了,期间收到了用户各种各样的反馈,感谢这些用户的反馈,指导我们不断的修正.完善应用.但是也有一部分需求或建议,由于资源或技术的限制,目前确实无法做到,只能对广 ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. CentOS rpm常用功能记录
			
    CentOS7主要有rpm和yum这两种包软件的管理.两者有功能上的区别,其中主要区别是:yum使用简单但需要联网,yum会去网上包源去获取所需要的软件包.而rpm的需要做的事情就更细一些,比如我们需 ...
    
			
    2. 
						
  2. cat常用参数
			
    cat 命令格式 cat [选项] [文件] -A, --show-all:等价于 -vET. -b  --number-nonblank:和 -n 相似,只不过对于空白行不编号. -e:等价于&qu ...
    
			
    3. 
						
  3. C++多文件结构和预编译命令
			
    下面随笔将给出C++多文件结构和预编译命令细节. 多文件结构和编译预处理命令 c++程序的一般组织结构 一个工程可以划分多个源文件 类声明文件(.h文件) 类实现文件(.cpp文件) 类的使用文件(m ...
    
			
    4. 
						
  4. javaweb遇到的报错及解决方式
			
    javaweb报错问题以及解决方案 问题(报错信息):Application Server was not connected before run configuration stop, reaso ...
    
			
    5. 
						
  5. Java 集合框架 04
			
    集合框架·Map 和 Collections集合工具类 Map集合的概述和特点 * A:Map接口概述 * 查看API可知: * 将键映射到值的对象 * 一个映射不能包含重复的键 * 每个键最多只能映 ...
    
			
    6. 
						
  6. 记录 Allsec 解题过程
			
    开局打开URL:http://119.3.191.245:65532/#/allsecPlayGame,前去做游戏 游戏URL:http://119.3.191.245:8877/Login.php  ...
    
			
    7. 
						
  7. Mongo的相关语法
			
    mongod的条件操作符 $gt -------- greater than > $gte --------- gt equal >= $lt -------- less than < ...
    
			
    8. 
						
  8. SpringCloud里面切换数据源无效的问题
			
    问题描述: 调用链:controller1的接口A->service1的方法A->service2的方法B 方法A开启了事务,且指定了数据库A的数据源 方法B也开启了事务,使用了默认的事务 ...
    
			
    9. 
						
  9. BIMFACE二次开发【C#系列】
			
    本系列文章主要介绍使用 C# .ASP.NET(MVC)技术对 BIMFACE 平台进行二次开发,以满足本公司针对建筑行业施工图审查系统的业务需求,例如图纸模型(PDF 文件.二维 CAD 模型.三维 ...
    
			
    10. 
						
  10. 2019 GDUT Rating Contest II : Problem F. Teleportation
			
    题面: Problem F. Teleportation Input file: standard input Output file: standard output Time limit: 15 se ...
    
			
    11.