关于<300英雄套件>主题附件的分析报告（手动滑稽分析）

兔子君 · 发表于 2016-7-25 12:39:40

http://bbs.125.la/forum.php?mod=viewthread&tid=13920043

这是单独的举报帖，后台管理部分也接到相同举报

下载附件检查源码后并无任何问题，模块反编译后也是无问题的，这点我在举报帖里也说明了的。

但是楼主强调编译后释放的，既然源码和模块都无问题，至少放心一半编译了出来，但是保险起见用的是分析工具运行的，
单独运行编译出来的exe没问题，释放的DLL是正常的，因为没有加载识别库所以更多内容看不到
放到压缩包里同识别库目录一运行，乖乖，立马分离出来5Srv一枚，难道是错觉？
不，单独把识别库移到和软件同目录运行，并无任何释放exe的提示，那么问题就出在唯一一个可以操作写到文件的文件DLL
压缩包里的DLL 122KB 对比模块释放出来的46KB 以及次世代调用例子里的46KB 明显大了不止一号
将分离出来的5Srv上传火眼后得到的结果和举报帖里火眼分析的结果基本一致（危险提示部分）
http://fireeye.ijinshan.com/analyse.html?md5=1121409f3eb8c9d96737d46458e9ee05&sha1=25f28771298b261bb8d8fcaf241874e2884613ac&type=1#full

检查结果：源码与模块暂无问题，问题出在同压缩包里的DLL文件

且5Srv的病毒最近论坛中招的挺多的，下载了该源码的会员请及时杀毒杀电脑（貌似几个流氓也杀不死这玩意儿，如果没有全盘玩儿完的话，把中招的盘格盘即可，全中的话全格，这是最保险的）

以上便是检测结果。

无论是软件还是源码，下载后先检查资源表，在整体搜索“写到文件”，”置入数据“等命令，实在不会的，装个虚拟机用分离工具运行查看文件的动作
http://bbs.125.la/forum.php?mod=viewthread&tid=13900422（送上常规检查工具）