点击上图中的"百度云盘下载"链接后,页面会跳转至hxxp://go.100ea.com/oem9/down.html。该页面中包含的JavaScrIPt脚本可以根据用户的当前IP地址所属地域,跳转至不同的百度云盘地址。如果通过IP地域查询,获取到当前所属城市为北京、厦门、深圳或泉州,则会跳转到无毒版本小马激活工具的百度云盘下载页面;如果当前所属地为其他城市,则会跳转到带毒小马激活工具的下载地址。脚本内容,如下图所示:
跳转脚本内容
带毒小马激活样本由三层释放器构成,病毒整体结构如下图所示:
病毒整体结构
三层释放器中都带有检测安全软件的代码逻辑,如果检测到安全软件则会弹出提示"为了顺利激活系统,请先退出杀毒软件",最后退出执行。提示弹窗,如下图所示:
提示弹窗
相关代码,如下图所示:
相关代码
oem9.exe和uuu.exe代码逻辑大致相同,均是对原始PE映像解密后进行释放。以oem9.exe为例相关代码,如下图所示:
释放器代码逻辑
前两层释放器释放结束后会释放执行xxx.exe,xxx.exe资源"RES"中包含被加密的压缩数据,该资源起始处可以看到RAR标记,但是其实起始位置数据是用来迷惑分析人员的。相关资源数据,如下图所示:
RES资源其实位置内容
