简介JS脚本病毒解密及相关分析方法

0x00 相关背景:
        在最近,发现通过邮件发送加密后的js脚本病毒比较猖獗,身边刚好有一个同事在接收到的邮件中,单击链接后发现中了敲诈勒索木马,基本是大多数的文件被加密了,严重危害了用户的信息安全。
0x01 JS脚本解密:
        起初看到加密后的js脚本,无从下手,只是知道其下载了相关的敲诈木马程序并运行了;最终通过百度查找js解密相关,国内已经有了相关的文章( 1秒破解 js packer 加密http://www.cnblogs.com/52cik/p/js-unpacker.html)。 其主要是通过浏览器自带的开发者工具(F12),把加密的代码, 删除开头 eval 这4个字母,按回车就能得到我们需要的原脚本。因为分析的这个样本涉及到公司内部信息,这里就只是简单叙述一下,怎么去解密脚本,得到需要的原脚本。下图一是自己测试所得到的原脚本信息。
 
0x02 分析样本相关
        通过原js脚本获取可知,其是下载了一个exe文件,然后运行它。通过调试发现,其是又重新创建一个自身进程,然后向这个进程中写入完整的PE文件信息(核心功能),然后唤起线程后则会分别开几个线程来实现各种的功能。这里实现功能就不介绍了。这里就分析一下自己的调试分析所走的歪路吧。其一,本来想通过重新开启OD附加相同的子进程中,结果发现没有显示,最终宣告失败。其二,通过创建了一个notepad进行来替换其子进程,然后让其 写入PE信息,最终在调试过程中一直宣告失败。最后就直接在远程写入pe信息时,直接在数据窗口找到PE头,然后复制完整个PE信息后点击“备份”--->“保存数据到文件”,则会直接dump下了我们所需要研究的那部分PE文件。然后就可以愉快的分析了。如下图所示:
 转载请注明文章转载自:http://youngs-rsr.blog.163.com/blog/static/2484320132015117115112136/#

你可能感兴趣的:(病毒木马分析)