acad.fas 病毒变种解密2

不死猫 · 发表于 2020-8-14 16:40

本帖最后由不死猫于 2020-11-9 16:31 编辑

拿到某个acad.fas病毒版本，文件还用了一个很简单的抗解码方法。
源码如下，方便大家进行病毒防范、杀毒软件的编写和研究。

对7楼的文件进行了再次解密。
其中有一句
(OR (WCMATCH (GETVAR "locale") "CHS,ZH") (EXIT))
发现是中文用户自动退出，这个很有意思。

言戲無軍 · 发表于 2020-8-14 17:57

最新的吗牛逼

satan421 · 发表于 2020-8-15 09:36

留个脚印，支持一下。

ketxu · 发表于 2020-8-15 18:18

Thanks for sharing it ^^

tryhi · 发表于 2020-8-16 23:43

猫老师讲解一下呗
除了改掉了系统函数，复制到cad目录等操作外，好像也没有其他危害？
而且fas文件好像是从http://sl.szmr.org/cj这个服务器下载的？这个服务器还在但是好像没有成功下载到

shadowGemini · 发表于 2020-9-8 15:47

很好奇fas文件是怎么解密的

shadowGemini · 发表于 2020-9-8 15:51

这个病毒其实就是一个下载器，下载的slb.fas文件可能才会包含真正的恶意行为，我这边费了点功夫找到了一个slb.fas文件，但是不知道和楼主这个样本是不是同一个版本的。还有就是，我很想知道该怎么去解密这个fas文件

nochao · 发表于 2020-11-8 20:11

感谢分享，支持

不死猫 · 发表于 2020-11-9 16:26

shadowGemini 发表于 2020-9-8 15:51
这个病毒其实就是一个下载器，下载的slb.fas文件可能才会包含真正的恶意行为，我这边费了点功夫找到了一个s ...

tryhi · 发表于 2020-11-9 18:05

不死猫发表于 2020-11-9 16:26

这个看起来比较厉害，没有仔细研究，里面有段二进制文件应该是可执行文件，估计也不好测，要测也一定要上虚拟机

账号		自动登录	找回密码
密码			注册

[【不死猫】] acad.fas 病毒变种解密2

本帖子中包含更多资源

本帖子中包含更多资源

点评

本帖子中包含更多资源