自从所有微信公众号统一改版为“信息流模式”后,一些订阅很多公众号的师傅反映,微信公众号的文章越来越难找了,一不小心就错过了,没能及时查看。
防失联加星标
每天看好文
前言
Emotet 是一种计算机恶意软件,最初是作为所谓的银行目标病毒开发的。其目的是渗透到其他人的设备中,以窃取敏感的私人数据。Emotet 能够欺骗和规避普通的防病毒程序。
正文
打开获取的word样本
查看宏代码
看到被混淆了
调试
看到执行了PowerShell脚本
解码powershell脚本运行
看到访问上面的网站,然后下载payload到指定地址,然后rundll32运行导出函数
将该样本动态调试,最后分到一块内存
将该块内存dump下来,结合IDA一起查看
看到文件开头不是PE文件,清空开头
然后放入IDA查看
通过PEB查找函数
对比命令行
如果不对,就重新创建进程
进入核心部分
获取卷标信息
创建两个互斥体
获取将要复制的文件的基本信息
获取计算机的名字
删除文件
获取临时文件夹目录
创建服务做持久化
遍历进程获取信息
下载文件
下载回来的样本的资源节
导入函数
获取资源节
调用一样的算法解密资源节
dump内存,用火绒剑监控,可以看到这边是通过进程注入继续执行窃密部分
之后的部分,会写在下篇emote文章
原文始发于微信公众号(Th0r安全):Emote银行木马逆向分析
