原帖:

第三方loader简单分析
http://bbs.blackbap.org/forum.php?mod=viewthread&tid=2612&fromuid=4372

今天就给各位大牛带来个病毒的黑盒分析吧,了解最新的病毒走向。

样本信息

File Name: 3.exe

File MD5: 280C68A4D66EDB9A31B021441A871BBA
今天这个病毒比较有意思,利用的是暴风影音的文件。

现在病毒流行一种新的玩法:第三方loader

问:什么是第三方loader呢?

简单来说,比如启动正常的xxx.exe白文件,它会去加载一个xxx.dll白文件。

然而xxx.exe白文件去加载xxx.dll白文件的时候没有去做安全校验。。。。

病毒作者就开始邪恶了,把xxx.dll替换成一个自己写的dll文件。

那么病毒就被加载起来了,对于现在杀软的防御机制来看,拦截的效果不太理想。

——————————————————————————————————————
正常的暴风影音文件bfUpdate.exe被利用加载一个木马文件Update.dll

image

image

——————————————————————————————————————————

先给大家发个简单的分析吧
请大家最近不要随便接陌生人的文件,尽管你用杀软右键扫描不是病毒,也要谨慎

By:HM
源链接

Hacking more

...