有圆孔的精易模块？反手一个小分析！

Gato

今天我在使用精易模块（不是官网下载的）时，发现火绒竟然报毒了。出于好奇，我尝试反编译了精易模块，结果发现了令人惊讶的一幕。

初步分析：
模块中有一段代码，用于检测某60和某绒是否存在。如果这些进程不存在，代码就会开始释放病毒。我个人认为，这段代码可能是作者写的一个小代码，但检测这些进程的意义何在呢？难道是为了绕过某些安全软件的检测？

进一步分析：
在模块的资源部分，我们发现了一个由病毒开发者加入的远控exe文件。我们对其进行了提取，发现文件体积较大，猜测其中除了exe文件外，可能还包含其他内容。通过分析，我们发现该exe的入口点是UPX的入口点，这意味着我们可以直接使用ESP定律法进行脱壳。

病毒释放过程：
我们进一步分析了该病毒的行为，发现它会分两次释放文件：

• 第一次释放到桌面。
• 第二次释放到C盘，生成一个名为1.exe的文件，并创建一个注册表项。
  

代码分析：
通过查看汇编代码，我们发现病毒使用了“客户1.连接”功能。这里不禁让人疑惑，作者为什么不使用hp模块或其他更常见的模块呢？当然，这可能涉及到一些我们不便多说的原因，懂的都懂。

注册表分析：
我们还对病毒修改的注册表进行了分析：

• SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ 是Windows注册表中的一个路径，用于存储系统启动时自动执行的程序列表。这个路径下的启动项对所有用户生效。
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ 存储的是计算机全局的启动项，添加在这里的程序会在计算机启动时，所有用户登录后自动运行。
  

总结：
通过分析，我们猜测该病毒通过修改注册表，将exe文件添加为启动项，使得系统重启后病毒仍能自动启动。这种行为无疑对系统安全构成了严重威胁。

提醒：
大家在下载和使用模块时，务必提高警惕，尤其是来自不明来源的模块。
精易模块为开源模块，帖子的为来源不明的二改版！请从官网下载！

欢迎加入讨论：
如果你对Windows网络安全感兴趣，欢迎加入我们的学习群：938270733，一起探讨更多安全相关的话题。

原分析文件（带图片
关于“精益模块附带圆孔的分析”.zip (1.22 MB, 下载次数: 0)

2025-2-1 21:45 上传

点击文件名下载附件

leaqi

憨憨问号

继续分析，直接追踪溯源挂出来让大家看看是哪个城市的小伙伴