当我们启发式扫描仪的遥测开始显示关于一个名为小文件的众多报告时,我的好奇心触发了祖父,所以我出去抓住副本,看看它。

正如你所能从某些人那里讲述在Virustotal的检测名称,这是MSIL(Microsoft中间语言)文件。有很多工具来分解MSIL可执行文件,但ilspy.是我个人的最爱。为了展示为什么,我将向您展示我如何分析这是一个非常小的可执行文件,这是Adware.Dotdo系列的一部分。

使用ilspy.

从他们的网站下载并解开二进制文件后,您可以运行ilspy.exe.然后点击文件>打开导航到您喜欢查看的文件。

ILSPY的一个优点是代码以非常明确的格式显示。甚至知道如何阅读伪码和哪里找到.NET文档就像我要展示的那样,会给你一个很长的路要走。

该示例中的代码

C#代码

代码以C#格式显示

在此代码片中,在初始化程序的最重要部分,我们看到三种隐藏用户部分的方法:

  • 该程序不会在任务栏中显示
  • 不透明度设定为0%,这意味着您将通过它看到
  • 如果发生任何脚本错误,则程序不会显示任何错误提示

顺便说一下,如果在VB.NET中对编码或读取代码更舒服,则可以设置ILSPY以显示该格式的代码。

混淆了VB代码

代码以VB格式显示
(点击放大)

上面的代码中的字符串以非常简单的方式被混淆。就足以抛出仅仅偏离轨道的人。

申请后替换(“28851129”,String.empty)),这被添加到代码的那部分中的所有字符串中,这是稍后将用作事件处理程序的两个函数的剩余部分:

私有子IE(发件人为对象,E为EVENTARG)

me.i.allownavigation =真实

me.i.navigate(“http://www.munificentspitz.pw/lgh2rx0rx1rx70h82lgh1rx.asp?inflambable=2017-08-21& pianoforte=01a0oksmvtislszzvjc1”)

结束子

上面的事件处理程序只需导航到混淆的URL。

私有子I(发件人为对象,E为WebBrowserDocumentCompletedEventargs)

如果是me.i.document.title <>“searchbox”那么

me.i.navigate(“http://www3.munificentspitz.pw/lgh2rx0rx1rx70h82lgh1rx.asp?inflambable=2017-08-21& pianoforte=01a0oksmvtislszzvjc1”)

万一

结束子

此事件处理程序根据当前文档的标题确定浏览器连接到的位置。如果站点的标题与“SearchBox”不匹配,那么它只是将用户重定向到困扰的URL。如果标题已经是“SearchBox”,它将无效。

vb代码

这是浏览器控件(“'此)初始化的地方,而主窗口的布局('Base')推迟,直到浏览器已准备就绪。所有控制的边缘都停靠在其包含控制的边缘并适当大小。浏览器将调整大小以将其父容器中的所有空白空间符合dockstyle.fill.财产集。

然后设置位置,大小和名称,但也可以通过将“.visible”属性设置为“false”来隐藏控件。

当新文档完全加载时,DocumentCompleted.事件发生,事件处理程序是我们之前讨论的(轻微)的混淆功能,因此将被触发。

autoscaledimensions.属性表示控件对缩放或设计的屏幕的DPI或字体设置。具体地,在设计时,此属性将由Windows窗体设计器设置为您的显示器当前使用的值。“字体”也是自动缩放的,相对于类的尺寸,类是使用的,这通常是系统字体。

然后在将浏览器控件添加到基础应用程序之后,调用第一个事件处理程序,如前所述,它隐藏主窗口并初始化浏览器。

概括

“程序”完全隐藏在用户身上,但尝试在同一域上联系两个不同的网站,可能有意提取进一步指令。在撰写本文时,该站点包含两个连接的IFramevideojelly [。] comwhos.amung [。]我们一位游客柜台。

我试图展示为什么我喜欢ilspy作为分解.net的工具并浏览程序集。

我们看看的文件有:

SHA-256 53AC5AA31468AD9C14B179B8FD9AB2EED19CBBF2F5F4DE97C9255BE6F2AF6240

祖父现在被检测为adware.dotdo。

adware.dotdo.

Pieter Arntz.