小牛试刀,关于【淘宝购物】的病毒分析
本帖最后由 807847379 于 2016-1-6 10:50 编辑1、首先,我是一个新手,所以如果 分析错了,请赐教。谢谢!
好啦,现在开始分析啦。
------------------------------------------------------------------------------------------------------------------------------------------
基本信息
报告名称:2.exe作者:807847379报告更新日期:2016年1月5日样本发现日期:2016年1月5日
样本类型:.exe样本文件大小/被感染文件变化长度:
样本文件MD5 校验值: 08A014DBB4EAB63041952B486588ECC0(脱壳前)9C11F1E5081A2ED0F14DFB587BA145D8(脱壳后)样本文件SHA1 校验值:2B4D44D5973A500C9E1278079F583AE59FB57510(脱壳前)41A1D3FA3E9AFDE5597599FD0C54DDBF4BE3C301(脱壳后)壳信息:UPX 0.89.6 - 1.02 / 1.05 - 2.90 -> Markus & Laszlo 可能受到威胁的系统:Windows7(32、64位)/Windows8(32、64位)/XP相关漏洞:已知检测名称:2.exe、services.exe、java.exe
------------------------------------------------------------------------------------------------------------------------------------------
简介
本节的主要目的是简单介绍样本的目的,类型,一两句画龙点睛即可:
目的:远程监控、传送数据类型:病毒描述:窃取文件,监控
------------------------------------------------------------------------------------------------------------------------------------------
被感染系统及网络症状
本节的主要目的是帮助潜在读者快速识别被感染后的症状。症状:中毒过后会建立网络连接,电脑资料会被窃取,同时电脑也会被监控。
------------------------------------------------------------------------------------------------------------------------------------------
文件系统变化
[将要/可能]被[创建/修改/删除]的[文件/目录]
[将要]被[创建]的[将要]被[创建]的[将要]被[创建]的[将要]被[创建]的
[将要]被[创建]的[将要]被[创建]的------------------------------------------------------------------------------------------------------------------------------------------
注册表变化
[将要/可能]被[创建/修改/删除]的[注册表键/键值]
[将要]被[创建]的[将要]被[创建]的[将要]被[创建]的[将要]被[创建]的
[将要]被[创建]的[将要]被[创建]的
[将要]被[修改]的[将要]被[修改]的[[将要]被[修改]的[将要]被[修改]的[将要]被[修改]的[将要]被[修改]的
------------------------------------------------------------------------------------------------------------------------------------------
网络症状
被监听的端口,向指定目标及端口的网络活动及类型,等等
被监听的端口:0.0.0.0:1034
------------------------------------------------------------------------------------------------------------------------------------------
详细分析/功能介绍
首先,此详细非彼详细。一份好的报告应该能让尽可能多的读者读懂,而不仅仅局限于分析师。本节的主要目的是向潜在读者提供样本的详细功能。
当被运行过后,会进行如下操作:1、释放恶意程序service.exe(C:\Windows\services.exe)和java.exe(C:\Windows\java.exe),并通过java.exe设置运行环境。
这是一个关于连接网络的函数,由此可知该病毒与网络有关。
------------------------------------------------------------------------------------------------------------------------------------------
2、自动启动释放出来的service.exe会打开设备\Device\Nsi,\Device\Afd。Service.exe会启动系统进程。比如:dllhost.exe、wermgr.exe、ws2_32.dll(C:\Windows\System32\ws2_32.dll)、dtrampo.dll(C:\Windows\System32\dtrampo.dll)。------------------------------------------------------------------------------------------------------------------------------------------
3、service.exe会遍历注册表和文件夹,拷贝内存,并且设置注册表(与网络相关的注册表),设置开机启动,降低系统安全。并释放恶意模块 ------------------------------------------------------------------------------------------------------------------------------------------4、2.exe会删除C:\Users\lubian\AppData\Local\Temp里面的tmp格式的文档以及设置过环境的java.exe。并且会修改用户IE游览器信息。service.exe会写入和修改C:\Users\lubian\AppData\Local\Temp里面的log格式的文档,并且遍历文件夹。 ------------------------------------------------------------------------------------------------------------------------------------------
5、2.exe会创建外部连接,连接远程IP。 ------------------------------------------------------------------------------------------------------------------------------------------6、2.exe会监听本地IP 0.0.0.0:1034,并且向远程连接的IP发送数据包,从而窃取用户资料。
如果有必要,并且可能的话,请注意区分各个模块的功能,这是因为如果不同模块发生了变化,读者可以更好的理解为什么某些症状出现了,某些没有,可能受到的影响又有些什么,等等。
是一个木马主体,被运行后会释放主要程序:service.exe和java.exe。并且会遍历文件夹和创建、修改文件,连接外部IP,发送数据包。是一个辅助木马主题,被运行后能够修改和创建注册表,打开设备,启动系统进程的恶意程序。辅助工具,可以设置和所需要的环境变量。
------------------------------------------------------------------------------------------------------------------------------------------
相关服务器信息分析
本节可以提供一些详细的目标域名, IP地址,邮件地址等等相关信息。这样可以方便企业/政府用户更好的了解/追踪该恶意代码的作者/运营者。
------------------------------------------------------------------------------------------------------------------------------------------
预防及修复措施
当然,如果就职于某行业内公司,本节通常会提供相关产品的修复操作步骤。
不过这里我们还是为那些没有安装安软的普通用户来介绍一下,需要安装的安全补丁,如何手动恢复被感染的环境,例如如何一步步的删除/修改相关注册表键值,文件等等。
预防:不要关闭防火墙。运行2.exe防火墙会提示连接外部网络,要拒绝。
修复:我还是新手,还不知道怎么手动修复...全盘杀毒....------------------------------------------------------------------------------------------------------------------------------------------
技术热点及总结
此节可以讨论技术的一些细节。我还是新手....------------------------------------------------------------------------------------------------------------------------------------------病毒样本:解压密码:123注意:是病毒哦!
807847379 发表于 2016-1-6 10:54
看了别人的分析,我觉得我的分析好LOW啊。。。。又不能删除。。。
谁都从0过来的,要做的事迎头赶上,删除又不能进步,加油。 看了别人的分析,我觉得我的分析好LOW啊。。。。又不能删除。。。 Hmily 发表于 2016-1-6 10:57
谁都从0过来的,要做的事迎头赶上,删除又不能进步,加油。
谢谢H大的鼓励。 谢谢分享。 看起来很厉害 学习了,加油 共同进步! 看起来很厉害
学习了,加油 共同进步! 为什么建立连接时显示内网ip呢?
页:
[1]
2