HEURAdWare.OSX.Pirrit分析

HEUR:AdWare.OSX.Pirrit分析

Not-a-virus:HEUR:AdWare.OSX.Pirrit


查看其中的可执行文件,有一串base64加密的字符串,尝试直接解密,得到无用信息

尝试直接解密

仔细查看,下方存在解密和解压缩的操作,尝试对其解密后解压

加密&解压

完整代码

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
#!/usr/bin/env python
# -*- coding:utf-8 -*-

import base64
import zlib
import sys

if __name__ == '__main__':
if(len(sys.argv) == 1):
print('usage: python filename encoded_string')
exit(0)
decoded = base64.b64decode(sys.argv[1])
decoded = zlib.decompress(decoded)
#print(decoded)
decoded_file = open('./DECODED.PY', 'w')
decoded_file.write(decoded)
print('done!')

得到Python代码

DECODED.PY


解密同目录下的加密信息,得到几个url,两个get job URL,一个audit URL,一个update URL

解密文件中的base64加密信息

访问get job URL

访问audit URL,对得到的结果解密,也是相同的4个url,只是一些数字参数发生了变化

audit URL

audit URL解密信息

访问update URL返回信息与audit相同

update URL


参考链接

[base64解密&zlib解压缩代码](