解析安装包解析失败是什么意思鬼?
点击联系发帖人
时间:2016-10-25 17:45
安装包有鬼:深入分析流氓推广器木马的隐身手段
一、样本信息
病毒类型:流氓木马
文件名:代练通setup_15.11.5.3.exe
MD5: 691e97d3f69fda172cf4c78d5c202069
文件大小:5,914,624Bytes
加壳类型:无
开发工具:易语言
二、病毒介绍
近期,360成都反病毒团队监测到一批由正规站发布的安装包病毒。这类病毒采用一系列技术手段躲避和干扰安全厂商,目前国内尚有多款软件无法查杀该病毒。因此我们对这批安装包病毒进行详细分析,并提醒各安全厂商注意加强检测。
这批安装包病毒主要是一些游戏、播放器和实用工具安装程序,分析后发现,病毒作者是把一个木马程序和一个正常的安装包做成一个伪安装包,诱导用户执行。病毒样本信息如下:
图1 安装包病毒文件
我们详细分析了一个名为&代练通setup_15.11.5.3.exe&的伪安装包。在用户运行该安装包病毒时,它会释放一个正常的安装包程序和一个木马程序CLManager.exe执行,释放的时候,CLManager.exe会被添加一些随机数据,干扰杀毒软件云查杀。正常安装包程序继续安装过程用于迷惑用户,CLManager.exe则从云端下载xger.dll模块加载运行,xger.dll除了会收集用户信息,进行流氓推广以外,还会用一个正常的白签名文件替换本地文件镜像CLManager.exe,CLManager.exe被替换后则不再启动执行,病毒以此隐蔽自己、干扰用户,同时还会影响杀软对该病毒的查杀。相关病毒模块信息如下:
图2 病毒模块
安装包病毒完整的执行过程:
图3 病毒流程图
三、详细分析
1、病毒安装包
病毒安装包是攻击者蓄意制作的,由一个正常的安装包和一个病毒主程序组成,易语言开发,启动后会释放这两个程序,正常安装包执行正常安装流程,迷惑用户,同时释放执行病毒CLManager.exe。在释放病毒CLManager.exe时,会生成一个随机数填充在文件末尾,这样使每次释放的文件MD5不同,干扰杀软云查杀。
图4 生成随机数
2、CLManager.exe
病毒启动后,在内存中解密执行1.dll,1.dll主要负责连接网络,从云端获取配置文件,并解密得到一个URL链接hao123.030000.cc/666.jpg,该链接指向一个jpg文件。
图5 云端获取的下载链接
病毒下载该jpg文件后,从文件中提取出病毒的另外一个模块xger.dll并加载执行。
3、xger.dll
该模块是病毒的主功能模块,启动后会创建3个功能线程执行不同的功能,同时还会用一个合法的白签名文件替换掉本地病毒文件CLManager.exe,达到更好干扰和隐藏的目的。
图6 被替换后的CLManager.exe
功能线程1:
线程1会判断用户的执行环境,通过进程名判断自身DLL是否运行在被打包的病毒主体中,不是则退出。
图7 检测母体进程名是否合法
xger还会判断计算机名,如果包含&COMPUTER&和&KS-&程序则退出:
图8 检测计算机名是否合法
通过以上病毒运行环境检查后,病毒便开始收集信息、杀软安装信息及是否在网吧等,并将这些信息上传到远程服务器/test8.?number=ddd。
功能线程2:
线程2进一步判断计算机运行环境,主要针对用户是否安装360和是否在网吧环境进行区别对待。
通过查找进程名ZhuDongFangYu、360SD判断电脑是否有360卫士和360杀毒在运行:
图9 检测360
通过查找进程名wanxiang、yaoqianshu、pubwin判断程序是否运行于网吧:
图10 网吧环境判断
环境检测后,线程2根据是否有360和是否在网吧,进行不同的推广:
图11 根据环境推广
需要特别指出,当非网吧用户且系统没有安装360时,xger会进一步下载其他的病毒模块执行:
图12 下载病毒子模块
功能线程3:
线程3会检测系统环境是否正在安装杀软,尝试强制破坏:
图13 病毒探测的杀软进程
同时线程3会删除一些软件在开始菜单的快捷方式、桌面快捷方式和卸载程序,猜测是防止其推广的软件被卸载及隐藏自己推广软件的目的。
图14 病毒删除的内容
4、lua51.dll
lua51.dll是xger判断环境后进一步下载执行的模块,该模块通过与其一起被下载的白利用程序nZyTsC.exe启动,当nZyTsC.exe运行时会加载lua51.dll执行。
lua51.dll启动后,释放白文件KZMount.exe和病毒模块Chs_Lang.dll,并将KZMount.exe添加系统启动项。
图15 lua51释放其他病毒模块
当系统启动时,KZMount.exe自动执行, Chs_Lang.dll被其加载,Chs_Lang.dll会创建挂起的shost.exe进程并将代码注入到svchost.exe进程中运行。
注入后的svchost.exe进程会连接网络从云端获取数据并解密出新的URL,再从新的URL下载文件abc.jpg。注入后的svchost.exe进程再创建一个挂起的svchost.exe进程,将abc.jpg中解密得到的PE文件注入到svchost.exe运行。
图16 虚假的svchost再执行虚假的svchost
5、abc.jpg
病毒从abc.jpg模块中抽取出核心代码,注入到svchost傀儡进程中执行。
傀儡svchost会推广百度:
图17 下载安装百度浏览器
此后,病毒结束掉系统已经启动的浏览器进程,然后带推广参数启动其安装的百度浏览器,如果启动失败,则带推广参数启动新的IE浏览器进程,达到推广目的。
最后,病毒采用xger模块类似的手段上报推广信息、删除本地卸载程序与快捷方式,达到隐藏目的。
四、防范建议
1、尽量通过官方网站或其他安全可靠的渠道下载安装软件。
2、如果电脑出现自动安装陌生软件、主页被篡改等异常情况,应及时查杀木马;
3、开启专业安全软件防护,不要被木马网站误导关闭安全软件。
(window.slotbydup=window.slotbydup || []).push({
id: '2467140',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467141',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467142',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467143',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467148',
container: s,
size: '1000,90',
display: 'inlay-fix'【米盒水贴】安装解析包错误是什么鬼?_小米盒子吧_百度贴吧
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&签到排名:今日本吧第个签到,本吧因你更精彩,明天继续来努力!
本吧签到人数:0成为超级会员,使用一键签到本月漏签0次!成为超级会员,赠送8张补签卡连续签到:天&&累计签到:天超级会员单次开通12个月以上,赠送连续签到卡3张
【米盒水贴】安装解析包错误是什么鬼?收藏
用u盘拷贝安的。
升级到.87稳定版出现的情况。
盒子是最早的那批盒子。
知道的帮忙
登录百度帐号推荐应用
为兴趣而生,贴吧更懂你。或后使用快捷导航没有帐号?
平板/笔记本
安装包验证失败是什么鬼?
&初窥门径&
来自:浏览器
今天p8153升级173老是提示安装包验证失败咋回事?
width:100%">
&自成一派&
来自:浏览器
粉粉出现这个问题的原因,是因为您在下载安装包的时候,当前的网络较差,导致下载的安装包并不完整,请您重新下载安装包即可。如果当前的网络,一直较差,建议更换下网络,或者更换下时间进行下载。
width:100%">
&自成一派&
来自:浏览器
谢谢分享,支持!!
width:100%">
&初窥门径&
来自:浏览器
化身孤岛的猫 发表于
粉粉出现这个问题的原因,是因为您在下载安装包的时候,当前的网络较差,导致下载的安装包并不完整,请您重 ...
今天到办公室就升级成功了 谢谢
width:100%">
【定格秋天】【克什克腾】【狗尾草的秋天】【娇颜绽放】【生活点滴】【城市风景】
花粉客户端
Make it Possible
Make your device special
华为云服务
Huawei cloud services
音乐播放器
Huawei Music
Huawei Vmall
没有最新动态
关注花粉俱乐部
联系我们:
|关注花粉俱乐部:
Copyright (C)
华为软件技术有限公司 版权所有 保留一切权利骨灰级手机控
扫码下载App一键签到 升级加速
更新包与官方数据存在差异是什么鬼
&来自小米手机5
扫一扫!手机看帖更爽
扫描二维码,手机查看本帖
建议重新下载,或者点击右上角选择下载最新完整包
我的怎就300多M
京ICP证110507号 京ICP备号【这是什么鬼】官网下载的安装包解析错误_大话西游手游吧_百度贴吧
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&签到排名:今日本吧第个签到,本吧因你更精彩,明天继续来努力!
本吧签到人数:0成为超级会员,使用一键签到本月漏签0次!成为超级会员,赠送8张补签卡连续签到:天&&累计签到:天超级会员单次开通12个月以上,赠送连续签到卡3张
【这是什么鬼】官网下载的安装包解析错误收藏
从昨晚开始游戏就一直进不去,一直提示获取服务器失败。于是就直接卸载了想重新安装,昨晚下载的可以重新安装,但是一直更新不了。今天早晨下载的可以安装,也可以更新,但是就是一直获取服务器失败。现在下载的直接都解析错误,安装不了了。帐号无缘无故的不存在了,角色也没有了,网易连个人工服务都没有!!!!!版主出来解决一下
手机什么型号~
登录百度帐号推荐应用
为兴趣而生,贴吧更懂你。或}
一、样本信息
病毒类型:流氓木马
文件名:代练通setup_15.11.5.3.exe
MD5: 691e97d3f69fda172cf4c78d5c202069
文件大小:5,914,624Bytes
加壳类型:无
开发工具:易语言
二、病毒介绍
近期,360成都反病毒团队监测到一批由正规站发布的安装包病毒。这类病毒采用一系列技术手段躲避和干扰安全厂商,目前国内尚有多款软件无法查杀该病毒。因此我们对这批安装包病毒进行详细分析,并提醒各安全厂商注意加强检测。
这批安装包病毒主要是一些游戏、播放器和实用工具安装程序,分析后发现,病毒作者是把一个木马程序和一个正常的安装包做成一个伪安装包,诱导用户执行。病毒样本信息如下:
图1 安装包病毒文件
我们详细分析了一个名为&代练通setup_15.11.5.3.exe&的伪安装包。在用户运行该安装包病毒时,它会释放一个正常的安装包程序和一个木马程序CLManager.exe执行,释放的时候,CLManager.exe会被添加一些随机数据,干扰杀毒软件云查杀。正常安装包程序继续安装过程用于迷惑用户,CLManager.exe则从云端下载xger.dll模块加载运行,xger.dll除了会收集用户信息,进行流氓推广以外,还会用一个正常的白签名文件替换本地文件镜像CLManager.exe,CLManager.exe被替换后则不再启动执行,病毒以此隐蔽自己、干扰用户,同时还会影响杀软对该病毒的查杀。相关病毒模块信息如下:
图2 病毒模块
安装包病毒完整的执行过程:
图3 病毒流程图
三、详细分析
1、病毒安装包
病毒安装包是攻击者蓄意制作的,由一个正常的安装包和一个病毒主程序组成,易语言开发,启动后会释放这两个程序,正常安装包执行正常安装流程,迷惑用户,同时释放执行病毒CLManager.exe。在释放病毒CLManager.exe时,会生成一个随机数填充在文件末尾,这样使每次释放的文件MD5不同,干扰杀软云查杀。
图4 生成随机数
2、CLManager.exe
病毒启动后,在内存中解密执行1.dll,1.dll主要负责连接网络,从云端获取配置文件,并解密得到一个URL链接hao123.030000.cc/666.jpg,该链接指向一个jpg文件。
图5 云端获取的下载链接
病毒下载该jpg文件后,从文件中提取出病毒的另外一个模块xger.dll并加载执行。
3、xger.dll
该模块是病毒的主功能模块,启动后会创建3个功能线程执行不同的功能,同时还会用一个合法的白签名文件替换掉本地病毒文件CLManager.exe,达到更好干扰和隐藏的目的。
图6 被替换后的CLManager.exe
功能线程1:
线程1会判断用户的执行环境,通过进程名判断自身DLL是否运行在被打包的病毒主体中,不是则退出。
图7 检测母体进程名是否合法
xger还会判断计算机名,如果包含&COMPUTER&和&KS-&程序则退出:
图8 检测计算机名是否合法
通过以上病毒运行环境检查后,病毒便开始收集信息、杀软安装信息及是否在网吧等,并将这些信息上传到远程服务器/test8.?number=ddd。
功能线程2:
线程2进一步判断计算机运行环境,主要针对用户是否安装360和是否在网吧环境进行区别对待。
通过查找进程名ZhuDongFangYu、360SD判断电脑是否有360卫士和360杀毒在运行:
图9 检测360
通过查找进程名wanxiang、yaoqianshu、pubwin判断程序是否运行于网吧:
图10 网吧环境判断
环境检测后,线程2根据是否有360和是否在网吧,进行不同的推广:
图11 根据环境推广
需要特别指出,当非网吧用户且系统没有安装360时,xger会进一步下载其他的病毒模块执行:
图12 下载病毒子模块
功能线程3:
线程3会检测系统环境是否正在安装杀软,尝试强制破坏:
图13 病毒探测的杀软进程
同时线程3会删除一些软件在开始菜单的快捷方式、桌面快捷方式和卸载程序,猜测是防止其推广的软件被卸载及隐藏自己推广软件的目的。
图14 病毒删除的内容
4、lua51.dll
lua51.dll是xger判断环境后进一步下载执行的模块,该模块通过与其一起被下载的白利用程序nZyTsC.exe启动,当nZyTsC.exe运行时会加载lua51.dll执行。
lua51.dll启动后,释放白文件KZMount.exe和病毒模块Chs_Lang.dll,并将KZMount.exe添加系统启动项。
图15 lua51释放其他病毒模块
当系统启动时,KZMount.exe自动执行, Chs_Lang.dll被其加载,Chs_Lang.dll会创建挂起的shost.exe进程并将代码注入到svchost.exe进程中运行。
注入后的svchost.exe进程会连接网络从云端获取数据并解密出新的URL,再从新的URL下载文件abc.jpg。注入后的svchost.exe进程再创建一个挂起的svchost.exe进程,将abc.jpg中解密得到的PE文件注入到svchost.exe运行。
图16 虚假的svchost再执行虚假的svchost
5、abc.jpg
病毒从abc.jpg模块中抽取出核心代码,注入到svchost傀儡进程中执行。
傀儡svchost会推广百度:
图17 下载安装百度浏览器
此后,病毒结束掉系统已经启动的浏览器进程,然后带推广参数启动其安装的百度浏览器,如果启动失败,则带推广参数启动新的IE浏览器进程,达到推广目的。
最后,病毒采用xger模块类似的手段上报推广信息、删除本地卸载程序与快捷方式,达到隐藏目的。
四、防范建议
1、尽量通过官方网站或其他安全可靠的渠道下载安装软件。
2、如果电脑出现自动安装陌生软件、主页被篡改等异常情况,应及时查杀木马;
3、开启专业安全软件防护,不要被木马网站误导关闭安全软件。
(window.slotbydup=window.slotbydup || []).push({
id: '2467140',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467141',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467142',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467143',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467148',
container: s,
size: '1000,90',
display: 'inlay-fix'【米盒水贴】安装解析包错误是什么鬼?_小米盒子吧_百度贴吧
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&签到排名:今日本吧第个签到,本吧因你更精彩,明天继续来努力!
本吧签到人数:0成为超级会员,使用一键签到本月漏签0次!成为超级会员,赠送8张补签卡连续签到:天&&累计签到:天超级会员单次开通12个月以上,赠送连续签到卡3张
【米盒水贴】安装解析包错误是什么鬼?收藏
用u盘拷贝安的。
升级到.87稳定版出现的情况。
盒子是最早的那批盒子。
知道的帮忙
登录百度帐号推荐应用
为兴趣而生,贴吧更懂你。或后使用快捷导航没有帐号?
平板/笔记本
安装包验证失败是什么鬼?
&初窥门径&
来自:浏览器
今天p8153升级173老是提示安装包验证失败咋回事?
width:100%">
&自成一派&
来自:浏览器
粉粉出现这个问题的原因,是因为您在下载安装包的时候,当前的网络较差,导致下载的安装包并不完整,请您重新下载安装包即可。如果当前的网络,一直较差,建议更换下网络,或者更换下时间进行下载。
width:100%">
&自成一派&
来自:浏览器
谢谢分享,支持!!
width:100%">
&初窥门径&
来自:浏览器
化身孤岛的猫 发表于
粉粉出现这个问题的原因,是因为您在下载安装包的时候,当前的网络较差,导致下载的安装包并不完整,请您重 ...
今天到办公室就升级成功了 谢谢
width:100%">
【定格秋天】【克什克腾】【狗尾草的秋天】【娇颜绽放】【生活点滴】【城市风景】
花粉客户端
Make it Possible
Make your device special
华为云服务
Huawei cloud services
音乐播放器
Huawei Music
Huawei Vmall
没有最新动态
关注花粉俱乐部
联系我们:
|关注花粉俱乐部:
Copyright (C)
华为软件技术有限公司 版权所有 保留一切权利骨灰级手机控
扫码下载App一键签到 升级加速
更新包与官方数据存在差异是什么鬼
&来自小米手机5
扫一扫!手机看帖更爽
扫描二维码,手机查看本帖
建议重新下载,或者点击右上角选择下载最新完整包
我的怎就300多M
京ICP证110507号 京ICP备号【这是什么鬼】官网下载的安装包解析错误_大话西游手游吧_百度贴吧
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&签到排名:今日本吧第个签到,本吧因你更精彩,明天继续来努力!
本吧签到人数:0成为超级会员,使用一键签到本月漏签0次!成为超级会员,赠送8张补签卡连续签到:天&&累计签到:天超级会员单次开通12个月以上,赠送连续签到卡3张
【这是什么鬼】官网下载的安装包解析错误收藏
从昨晚开始游戏就一直进不去,一直提示获取服务器失败。于是就直接卸载了想重新安装,昨晚下载的可以重新安装,但是一直更新不了。今天早晨下载的可以安装,也可以更新,但是就是一直获取服务器失败。现在下载的直接都解析错误,安装不了了。帐号无缘无故的不存在了,角色也没有了,网易连个人工服务都没有!!!!!版主出来解决一下
手机什么型号~
登录百度帐号推荐应用
为兴趣而生,贴吧更懂你。或}
我要回帖
更多关于 安装包解析错误 的文章
更多推荐
- ·八维女孩有哪些专业教育值得报考吗?哪个专业比较好?
- ·?新疆和田地区地震民丰县发生了3.0级地震吗
- ·金字塔属于什么文明是哪一个早期文明地区的发源地?
- ·很精辟的人生感悟句子金句,刷爆朋友圈
- ·朋友圈很火的一段话里的幽默金句
- ·君胜游戏现在提现不行 大家知道太行发动机到底行不行是怎么回事
- ·海宁龙城一号娱乐会所娱 乐 场现在新去的人有什么奖励啊?
- ·宏途娱乐下载hongtu88.com怎么登陆不上去?求解答?
- ·这个游戏叫什么游戏名字好听名字
- ·LOL国服最强王者排名的ID有好多都是代练,qt代练是真的吗吗,靠谱吗?
- ·捕鱼达人里钻石干嘛用2016中的彩卷:有什么用
- ·诛仙九年诛仙尊享礼包包在那里领
- ·请问明升88官网娱 乐场)是不是最好的?还可以么??
- ·那有大量大话西游数据库2的数据号买
- ·魔法王座英雄试炼扫荡钻石vip扫荡资源双倍?
- ·Dota2肉山谷,物理减免都是99,1万的lol护甲减免和3千的lol护甲减免是不是效果一样?今天感觉没什么区别
- ·有个游戏下嘴唇里面有很多疙瘩可以猜的游戏
- ·云鼎娱乐上斗天堂 乐 场可以玩什么呢,现在是不是很火的这个?
- ·英雄联盟开黑语音不见更新后字都看不见了
- ·解析安装包解析失败是什么意思鬼?
- ·玩红包的人找我。庆阳福利院智障多多图多多。
- ·dnf刷图没到dnfboos下面的小血条那遇到dnfboos下面的小血条怎么回事
- ·我想把苹果6 版本从10.1降到9.3.3用pp助手9.3.3越狱刷回去 但是弹出这个框框
- ·哪个云流量计浮子不稳定最新最实惠最稳定??
- ·三星2016开机界面插上冲电器就开机咋会事
- ·5月1号改的76元聊天400m流量竟然没有接通知,白白半年前qq聊天记录找回时间!!!联通真
- ·苹果六开启后台运行苹果的gps在哪里开启
- ·我的孩子十七了,天天炫斗北极熊的拥抱就抱个手机玩,怎么说都不听,也不念书,也没有
- ·乐 视手乐视x500救砖全屏雪花是什么原因
- ·苹果手机怎样苹果用什么连接电脑视
- ·苹果7plus128g价格磨砂黑128G的刚出来多少钱?
- ·笔记本电脑屏幕多大正常是多大尺寸
- ·oppo r9自带手机管家r9plus怎么打开小语微商管家10.0的辅助功能
- ·三星a8000 root自动重启,卡在开机画面,进不到待机界面。没有ROOT权限,怎么刷机
- ·不是说三星2016有2016支付宝专属活动百度页面么
