淘宝欺骗病毒的鉴定--TaBAccelerate.dll

样本名称:TaBAccelerate.dll

样本大小:1135104 字节

样本MD5:7AEF6EEECB37685D17F3D9BD76FA9EA0

样本SHA1: EB1E5ABA7C37973BAF0576D953E29D515F29EF1C

一、查壳

在样本的分析和鉴定的时候,不是一拿到样本就开始使用IDA或者OnllyDebug进行反汇编的分析,推荐先用查壳软件对样本进行壳的侦测或者用StudyPE看下样本的每个区节的分布,然后再着手分析。这个样本是一个Dll文件,并且在样本的指令中有很多的垃圾指令阻碍样本分析员对样本进行分析。

很明显该样本已经进行了加壳的处理,具体是什么壳也不用深究的,因为在样本的最终执行过程中,被加壳的代码最终都会在内存中显示出来。

二、分析

对于加壳处理的PE文件,大多时候IDA是无能为力的,只能使用动态反汇编软件。OD还是比较好用的,这里用OD载入该样本,但是经过调试发现,之前能够用的调试方法都不奏效,也尝试过在JMP指令处下断点,进行程序的动态调试跟踪,跟踪了一段时间,最终还是无奈的放弃了,后来想到在程序的加壳的程序在运行时会解壳,在解壳的过程中,必然会使用VirtualAlloc、VirtualAllocEx、VirtualProtect、VirtualProtectEx等一些函数,因此可以尝试在这些函数的地方下断点调试。这里使用无爱破解论坛提供的最新版的OD进行调试,如图设置程序的VirtualProtect断点:

OK,点击确定VirtualProtect断点就设置好了,F9执行运行程序,然后程序就会停在我们需要的关注的地方,如图:

此时,使用快捷键Ctrl+N并不能获得比较有用的信息,如图:

三、鉴定

尽管程序的调试到了一个比较理想的状态点,但是后面的分析中发现,解压的这些指令仍然有比较多的垃圾指令,不是一个比较典型的样本,没有分析的必要,自身原因(反汇编的能力有限)。此时,虽然不能很明显的获取到一些信息,但是不要失望,OD的字符串插件会提供很多比较有用的信息,如图:

截图中的一串字符串很显然是解密使用并且Base64编码 就是这么用的,具体的参考:http://iffiffj.iteye.com/blog/618713;该样本还会通过修改注册表启用Activex控件更改Internet 区域的保护等级,具体的参考:http://blog.csdn.net/wangqiulin123456/article/details/17068649


对淘宝用户的数据进行采集然后进行模拟POST数据的提交。

具体的可以参考网址:

http://bbs.csdn.net/topics/390591352?page=1

http://www.sufeinet.com/thread-11842-1-1.html

从下面的网址中下载恶意的程序AliMM.exe和AliMM.dat到本地的%APPDATA%目录下.

http://www.liasd.net/6yuj/web.htm

http://www.liasd.net/6yuj/Web.dat

登录网址http://www.liasd.net看到的,如图:

网址http://www.liasd.net是服务器代理公司。

运行从恶意网址下载的%APPDATA%目录下的AliMM.exe程序,由于程序AliMM.exe拿不到就不展开分析了。我猜测AliMM.exe程序运行以后会对360的主动防御和360tray.exe以及淘宝的软件ALIIM.EXE做点恶意的操作。

获取到的IP地址:69.30.236.34,这是代理服务器公司的IP地址。

获取到的网址,经过登录验证都是指淘宝的登录主页。

https://trade.taobao.com/trade/json/order_address_info.htm?biz_order_id

trade.taobao.com/trade/detail/trade_item_detail.htm

member3.taobao.com/member/user_profile.jhtml

i.taobao.com/my_taobao.htm?nekot=trade.taobao.com/trade/detail/trade_snap.htm?itemId: rate.taobao.com/rate.htm?userId=trade.tmall.com/detail/orderDetail.htm

http://trade.taobao.com/trade/itemlist/list_sold_items.htm?spm=a1z02.1.1997525073.3.WEqHsV

http://trade.taobao.com/trade/itemlist/list_sold_items.htm?pageNum=2

http://trade.taobao.com/trade/itemlist/list_sold_items.htmevent_submit_do_query=1&closeorder_flag=1&isArchive=false&isArchiveDefault=0&user_type=1&pageNum=%d&order=desc&order_type=orderList&isQueryMore=false&select_shop_name=&isOwnOfficialShop=false&sellerNumID=%s&from_flag=&timeStamp=&sessionID=&authType=1&aucti

这里只是得到了一些网址,并且这些网址都是指向淘宝的登录页面,具体的做什么鬼,我也只是猜测,也没那个精力去分析。

总结,可能这个样本还不全,只是病毒样本中的一个,但是样本的具体详细的行为,不清楚,因为即使这样还是有很多的垃圾指令,汇编代码还是很难分析,并且关键的样本AliMM.exe也没能获取到。不过更多的消息,可以参考下面的网址:http://bbs.taobao.com/catalog/thread/154526-1127439-18.htm

笔记到此为止,欢迎拍砖指正。

时间: 2024-10-28 11:19:57

淘宝欺骗病毒的鉴定--TaBAccelerate.dll的相关文章

勒索病毒全球肆虐 淘宝卖家恢复文件坐地起价趁火打劫

爆发于5月12日的wannacry(中文译为"想哭")蠕虫式勒索病毒,已经给包括中国.俄罗斯.美国.英国等在内的超过100个国家和地区数十万台计算机造成影响,教育.医疗.化工.能源等多个行业损失惨重,据不完全统计,"想哭"病毒在全球造成直接经济损失至少550亿美元. "想哭"病毒利用Windows系统445端口网络共享文件漏洞自动传播,感染的电脑所有文档被加密以致不能直接打开,黑客要求用户向指定的比特币账户汇入一定金额赎金才能获得文件解密密钥.然

网红淘宝店的成与败

近年来,随着直播的人气火热上升,越来越多的网红出现在我们的眼前.很多人都想成为网红,为什么呢?因为他们有人气,有喜欢自己的粉丝,而他们能通过这些粉丝和人气来获取利益,例如通过自己的人气接广告或卖东西给喜欢自己的粉丝.这就是为什么淘宝里有越来越多的网红店,他们通过自身的人气效应给自己打广告,在直播或博客中秀出自己店里的商品. 想要了解网红淘宝店的成与败,我们先来谈论网红淘宝店的运营方式.网红淘宝店当然老板是网红,但其实在幕后有一个操作团体,他们不仅起到封装网红的作用,还帮他们进货出货,网红只要负责

淘宝对接(一)

最近工作的内容是与淘宝进行对接.第一次接触淘宝对接的工作.淘宝也很不赖有比较专业详尽的文档.地址是:http://open.taobao.com/docs/doc_index.htm.网上也有一大堆参考资料.但感觉有点散.在这里我做一个合适我自己的归纳总结. 要进行淘宝开发,必须要首先完成以下步骤: 1. 申请开发者账户(申请完毕获得非常重要的App Key及App Secret).淘宝文档新手接入指南详细介绍了具体的步骤.这里就不再做过多的叙述. 2. 下载淘宝SDK.点击在第一步创建好的应用

记录一次黑客模拟攻击 成功拿到淘宝账号和密码

前言:昨晚上我看到一篇因为apple ID 被盗,被迫向骗子支付了1000多元的文章,看完后,觉得如今真的不能在网络上留下自己太多的个人信息,尤其是涉及个人隐私.财产的信息,能避免尽量避免,要不然稍不注意就会被黑客利用. 文章中的黑客不仅改了他的密码,而且也把他账号的密保和邮箱篡改了,PO主就没办法了,账号没办法登录,就更别说重置密码了.由于IPhone 和MACBOOK 的丢失模式和保护机制,必须输对密码才能打开手机和电脑, 所以PO主为了拿回账号不得不去被迫花高代价解锁. 想闭,大家的账号都

暗访淘宝免费送的那些不为人知的事情

这几天,姐的微信朋友圈里,已经被各种免费送的信息刷爆了屏幕: “XXX莹透修颜保湿BB霜128元天猫店免费包邮送了!” “XXX除异味魔盒免费包邮送了!” “韩国XXX嗡嗡圈驱蚊手环免费包邮送了!” 这么多东西免费包邮送?!此等好的事情是从啥时开始的?姐为啥一点都不知道! 元芳,此事你怎么看?大人,我觉得此事有蹊跷!姐姐我要去研究一下! 姐姐随便点击一个朋友分享的链接,进入到这个叫天天撸团的地方,看来免费送的东西还真不少呐! 这么好的事情,不知道是真是假,我进去试试看 这么好玩的事情,报个暗号,

天猫-淘宝年货精选,最高折扣,最优质量

慢慢的,慢慢的,羊年近了,年货也得提上日程了,这里整理了天猫的年货促销清单,大家有需要的就下载附件吧,以人格担保绝非病毒! 附件一:天猫年货特供.xls,内用零食.国产白酒.洋酒.葡萄酒.茶叶.服装,还有部分天猫国际的免税商品,覆盖国酒茅台.厨具双立人.爱仕达.耐克等,更多信息下载附件! 附件二:淘宝联盟最全年货大促.xls,内用淘宝畅销白酒.过年礼品.过年服装.过年家居等,品牌覆盖国酒茅台.宜家家居等,更多信息请下载附件! 附件三:去啊春节爆款.xls,春节旅游所需航班.酒店.导游信息应有尽有

订餐系统之获取淘宝外卖订单

当时的情况是这样的:我们一个客户用了我们的订餐系统,也在淘宝外卖上开了店,但是订餐系统中的订单都要通过调度系统,根据配送员的位置,把订单发送给合适的配送员,所以要把淘宝外卖的订单加到订餐系统中(据说淘宝外卖也是因为味捷外卖才开发这个接口的). 淘宝外卖提供的接口我知道的有三个,1.获取未确认的订单:2.确认订单:3.拒绝订单.所以订餐系统要做的就是从淘宝外卖获取未确认的订单.确认订单并加入订餐系统. 开放平台地址: http://open.taobao.com/doc/api_cat_detai

生活娱乐 反淘宝联盟是怎么回事

反淘宝联盟 百科名片 反淘宝联盟 反淘宝联盟,是网络购物者成立的一个组织,这些网购者的目标是反对淘宝网购的一些欺诈.不诚信行为,后来由于淘宝商城出了针对小卖家的新规,这些小卖家又加入反淘宝联盟的行列,维护自己的利益.2011年10月12日,淘宝"暴动"升级,小卖家在淘宝总部拉横幅. 信息简介 反淘宝联盟的成立是因为有客户在淘宝上买到不合格产品, 淘宝网 在敢死联盟平台的组织要求退款时对淘宝的处理不满意而开始的.反淘宝联盟直击淘宝软肋,价廉的同时伴随而来的是商品的质量问题,尽管淘宝有各种

淘宝滑动验证码研究

引言 悠闲的时候,总会去找些事做做.前些天在登录淘宝的时候,发现了滑动验证码,虽然已经不是什么新事物,但还是产生了很大的兴趣. 传统的字符输入验证码,变为了滑动验证码,这一看就是产品大师的手笔啊,不知道申请专利没有. 这种“情感化”的验证码设计,可破解度高不高呢?如果是可破解度高,那就真是验证码的一次革命变新了.还是让我先了解一下滑动验证码的资料吧! 没有Google就百度,搜一搜,让我很震惊,一般搜技术的东西,大多数来源于csdn,blogs.cn,更牛批一点的是来源于stackoverflo