对一个空壳钓鱼辅助的简单分析

使用论坛附件上传样本压缩包时必须使用压缩密码保护，压缩密码:52pojie，否则会导致论坛被杀毒软件等误报，论坛有权随时删除相关附件和帖子！
病毒分析分区附件样本、网址谨慎下载点击，可能对计算机产生破坏，仅供安全人员在法律允许范围内研究，禁止非法用途！
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容，即使对方是非法内容，也应向警方求助！

文件信息：
MD5:58DDFB74713C2267EF24123456A1D883
SHA1：11F09A5F38382B634265928A0967985C00D94E65
CEC32:199E8A47
0x01样本来源：
这个小样本是我一玩功夫派（小学生，哈哈）同学给我的，他说使用后没有任何效果，怀疑是空壳。
0x02分析过程
获取样本：（SkinH_EL.dll是运行后释放的皮肤文件）

1.jpg (25.1 KB, 下载次数: 4)

下载附件

2015-2-21 23:31 上传

打开样本：

2.jpg (20.23 KB, 下载次数: 2)

下载附件

2015-2-21 23:31 上传

可以看到小衣服图标，直觉是易语言程序，OD载入看下吧。
载入后直接右键→中文搜索引擎→搜索ASCII注意红箭头位置：

3.jpg (93.23 KB, 下载次数: 3)

下载附件

2015-2-21 23:39 上传

帐号：ab2272146905@126.com
密码：2272146905

126邮箱地址：
我了个大槽。。

4.jpg (18.86 KB, 下载次数: 2)

下载附件

2015-2-21 23:42 上传

看来这货有防备，剩下的看大家的了（提示：SMS BOOM！）
0x03小结
总的来说，该钓鱼软件作者的反侦查能力较强，懂得用二次验证，其次，钓鱼对象的选择是低龄化（也就是小学生），以提高钓鱼成功率，但是该作者的软件竟然没加壳，这是我出乎意料的。而且，该作者添加了推广弹框，使散播渠道最大化（QQ群）。
附：样本

功夫派凤凰辅助.zip (1.21 MB, 下载次数: 14)

2015-2-21 23:47 上传

点击文件名下载附件
下载积分: 吾爱币 -1 CB

密码:52pojie

 

免费评分 参与人数 2威望 +1 热心值 +2 理由

smile1110     + 1   以后这种钓鱼软件也给俺一份，大爱箱子黑吃.  

willJ   + 1   + 1   黑客轩，你为何这么屌  

查看全部评分