本帖最后由 zyjking 于 2019-4-5 23:19 编辑
反馈版原帖:http://www.mcbbs.net/thread-855128-1-1.html
大致说的是是一个人给他了一个客户端,点开启动器后没反应,后面发现可能是启动器的问题
初步用IDA(反汇编)看了一下,再对比了一下真正的启动器(HMCL,多个不同版本,包括3.X和2.X),发现完全是两个文件,而且图标也不对(放大看细节)
按照通常的方法准备拿exe的原本jar,发现无效
有兴趣的可以下载来分析一下,但是千万不要打开文件(虚拟机没问题,记得搞一个快照)
https://www.lanzous.com/i3o4ypa
解压密码:123
反馈版原帖:http://www.mcbbs.net/thread-855128-1-1.html
大致说的是是一个人给他了一个客户端,点开启动器后没反应,后面发现可能是启动器的问题
初步用IDA(反汇编)看了一下,再对比了一下真正的启动器(HMCL,多个不同版本,包括3.X和2.X),发现完全是两个文件,而且图标也不对(放大看细节)
按照通常的方法准备拿exe的原本jar,发现无效
有兴趣的可以下载来分析一下,但是千万不要打开文件(虚拟机没问题,记得搞一个快照)
https://www.lanzous.com/i3o4ypa
解压密码:123
2019-04-05编辑:
已经样本上传至某破解论坛,等待分析
发到某某破解去 52
人心险恶啊 盗号有这种方法了 以后真得小心了
本帖最后由 ItIsEnderman 于 2019-4-5 16:01 编辑
我……看到报毒了,叫做moneythief
解压之后单独分析更可疑:
http://r.virscan.org/language/zh ... 30dd6072c5da5930c59
我……看到报毒了,叫做moneythief
解压之后单独分析更可疑:
http://r.virscan.org/language/zh ... 30dd6072c5da5930c59
我爱魁拔 发表于 2019-4-5 15:37
好可怕。。
丢哈勃去了 看不懂https://habo.qq.com/file/showdetail?pk=ADcGZl1vB2AIPFs%2FU2M%3D ...
唉,等等,看你这个分析我才想起来我没有用PEID查壳……
既然是UPX的壳,那还好
楼上发的哈勃中的信息
PACKER:UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo 确实是 upx 的壳
此外建立的网络链接应该是盗号者的 URL: lo****om, IP: **.133.40.**:128, SOCKET = 0x000000a4
还有谁有空上传到 https://www.virustotal.com/ 上分析一下
PACKER:UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo 确实是 upx 的壳
此外建立的网络链接应该是盗号者的 URL: lo****om, IP: **.133.40.**:128, SOCKET = 0x000000a4
还有谁有空上传到 https://www.virustotal.com/ 上分析一下
7-zip可以改hmcl.exe包里内容的,等下我切网应该没事吧
1a2s3d4f1 发表于 2019-4-5 22:06
7-zip可以改hmcl.exe包里内容的,等下我切网应该没事吧
关键是这个像启动器的exe根本不是Java写的
zyjking 发表于 2019-4-5 22:07
关键是这个像启动器的exe根本不是Java写的
1a2s3d4f1 发表于 2019-4-5 22:12
Launch4j可以把其他jar包打包成exe,我用这个把一个下载器伪装成HMCL,图标和文件描述都一样,然后大小 ...
你要是愿意,使用OD手动脱UPX壳,然后使用PEID看看到底是用什么语言写的
应该让管理在服务器版发个公告 警惕客户端自带的启动器 若有必要自己放入HMCL等启动器启动 尽量不要使用客户端带有的启动器
本帖最后由 1a2s3d4f1 于 2019-4-5 22:57 编辑
假启动器扫描:https://www.virustotal.com/#/fil ... 1bfa0507/detection.(一般杀软无法发现毒)SHA256: 67207B29817D9649DE69A9FFE40298660037DA90662C92DB2D80484A1BFA0507
HMCL3.2.129.jar(sha-1与官网一致):https://www.virustotal.com/#/fil ... 72e9ede3c/detection
HMCL3.2.112:(sha-1与官网一致)https://www.virustotal.com/#/file/70d94a724e52babf97174d5a08e63e62e8bc265881bfd0c62b87a58ac4443407/detection(原因,HMCL的exe外壳套的jar里有个exe启动启动器,所以..)
7-zip拆开发现不是jar文件的模样,而是一堆文件,这个好像国服启动器的文件格式
假启动器扫描:https://www.virustotal.com/#/fil ... 1bfa0507/detection.(一般杀软无法发现毒)SHA256: 67207B29817D9649DE69A9FFE40298660037DA90662C92DB2D80484A1BFA0507
HMCL3.2.129.jar(sha-1与官网一致):https://www.virustotal.com/#/fil ... 72e9ede3c/detection
HMCL3.2.112:(sha-1与官网一致)https://www.virustotal.com/#/file/70d94a724e52babf97174d5a08e63e62e8bc265881bfd0c62b87a58ac4443407/detection(原因,HMCL的exe外壳套的jar里有个exe启动启动器,所以..)
7-zip拆开发现不是jar文件的模样,而是一堆文件,这个好像国服启动器的文件格式
这个故事告诉我们啥密码都不能一样 最好啥都有独立密码
这么可怕的事.....
最新情况
冰川橘子 发表于 2019-4-7 09:42
我发到火绒论坛等待分析(众人拾柴火焰高)
http://bbs.huorong.cn/thread-56282-1-1.html
我已经放到52的病毒样本区了
zyjking 发表于 2019-4-7 10:03
我已经放到52的病毒样本区了
所以说
昨天脱壳放到ida里去,发现接口给毁了……而反编译的结果又是乱七八糟,于是我放弃了……
坐等52论坛的结果,完毕
坐等52论坛的结果,完毕
看到这货要以管理员权限运行就知道有问题,
在OD里面看了一下,太多了,感觉一时半会弄不出来,放弃了,
另外:用OD打开的时候被火绒发现了
在OD里面看了一下,太多了,感觉一时半会弄不出来,放弃了,
另外:用OD打开的时候被火绒发现了
真可怕。。
1139365029 发表于 2019-4-7 13:14
看到这货要以管理员权限运行就知道有问题,
在OD里面看了一下,太多了,感觉一时半会弄不出来,放弃了,
另 ...
是我上报的,快夸我
已上传至火龙论坛,问题已解决,火荣可以查杀
冰川橘子 发表于 2019-4-15 20:51
已上传至火龙论坛,问题已解决,火荣可以查杀
你打错了两次火绒
zyjking 发表于 2019-4-15 22:06
你打错了两次火绒
不要在意这些细节,现在已经可以杀这个病毒了(火龙有个惯例,如果是特别大的并读,那会出来单独分析,并且把分析过程发出来,但是小病毒不会)