详细内容或原文请订阅后点击阅览
免费游戏,代价高昂
PiviGames 是一个流行的西班牙游戏平台,因提供盗版电脑游戏的下载链接而在游戏社区中广为人知。这样的平台提供了有吸引力的内容,多年来在游戏社区中建立了声誉。然而,PiviGames 已不仅仅是免费娱乐的来源;它已发展成为一个成熟的恶意软件分发中心,允许恶意行为者危害毫无戒心的用户。
来源:G DATA _恶意软件第 2 阶段:evr.dll shellcode 和模块表
evr.dll 中的 shellcode 的主要目的是连接和解密文件 Zootkumbak.uhp[5] 中的主要配置。
但首先它会解析导入并通过计算进程名称的哈希值来确定是否存在某些进程。如果它发现任何目标进程,则会延迟执行五秒钟。
导入和进程名称的哈希计算函数依赖于前一阶段的常数乘数,因此我们预计该值会针对 HijackLoader 的其他变体而改变。
接下来,第二阶段 shellcode 解析 Zootkumbak.uhp[5] 文件。 配置的加密数据被分成 90 个片段,分散在文件中。
为了找出每个部分的位置,HijackLoader 会执行模式搜索。它使用搜索模式“??????@IDAT”,HijackLoader 将其解释为通配符 4 字节值,后面紧跟字符串“IDAT”。通配符值是当前块的大小。 我们的样本共有 90 个块。
在第一个“IDAT”模式之后,开始我们加密配置的标头。 包括搜索模式的完整标题如下所示:
块大小 | ‘IDAT’|魔法| 异或键 | 压缩大小| 未压缩大小
每个值都是四个字节长。 XOR 密钥解密配置的所有块。压缩大小是解压前所有块的总大小,未压缩大小相当于解压后的总大小。 此标头之后开始第一个块的加密数据。
对于每个剩余的“IDAT”块,加密数据直接在“IDAT”模式之后开始。
为了对配置文件 Zootkumbak.uhp 进行反混淆,我们使用标头中的 XOR 密钥解密每个块,按照找到的顺序连接块,最后使用 LZNT1 解压缩它们。
具有以下文件名的字符串列表:
Conduit.Broker.dll
D_C.exe