本帖最后由 807847379 于 2016-1-6 10:50 编辑
1、首先,我是一个新手,所以如果 分析错了,请赐教。谢谢!
好啦,现在开始分析啦。
------------------------------------------------------------------------------------------------------------------------------------------
基本信息
报告名称:2.exe 作者:807847379 报告更新日期:2016年1月5日 样本发现日期:2016年1月5日
样本类型:.exe 样本文件大小/被感染文件变化长度:
样本文件MD5 校验值: 08A014DBB4EAB63041952B486588ECC0( 脱壳前) 9C11F1E5081A2ED0F14DFB587BA145D8(脱壳后) 样本文件SHA1 校验值:2B4D44D5973A500C9E1278079F583AE59FB57510(脱壳前) 41A1D3FA3E9AFDE5597599FD0C54DDBF4BE3C301(脱壳后) 壳信息:UPX 0.89.6 - 1.02 / 1.05 - 2.90 -> Markus & Laszlo [Overlay] 可能受到威胁的系统:Windows7(32、64位)/Windows8(32、64位)/XP 相关漏洞: 已知检测名称:2.exe、services.exe、java.exe
------------------------------------------------------------------------------------------------------------------------------------------
简介
本节的主要目的是简单介绍样本的目的,类型,一两句画龙点睛即可:
目的:远程监控、传送数据 类型:病毒 描述:窃取文件,监控
------------------------------------------------------------------------------------------------------------------------------------------
被感染系统及网络症状
本节的主要目的是帮助潜在读者快速识别被感染后的症状。 症状:中毒过后会建立网络连接,电脑资料会被窃取,同时电脑也会被监控。
------------------------------------------------------------------------------------------------------------------------------------------
文件系统变化
[将要/可能]被[创建/修改/删除]的[文件/目录]
[将要]被[创建]的[C:\Windows\services.exe] [将要]被[创建]的[C:\Windows\java.exe] [将要]被[创建]的[C:\Users\lubian\AppData\Local\Temp\] [将要]被[创建]的[C:\Users\lubian\AppData\Local\Microsoft\Windows\Temporary Internet Files]
[将要]被[创建]的[C:\Users\lubian\AppData\Local\Temp\zincite.log] [将要]被[创建]的[C:\Users\lubian\AppData\Local\Temp\rzJfx.log] ------------------------------------------------------------------------------------------------------------------------------------------
注册表变化
[将要/可能]被[创建/修改/删除]的[注册表键/键值]
[将要]被[创建]的[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters] [将要]被[创建]的[HKEY_LOCAL_MACHINE\Software\Microsoft\Tracing] [将要]被[创建]的[HKEY_LOCAL_MACHINE\Software\Microsoft\Daemon] [将要]被[创建]的[HKEY_CURRENT_USER\Software\Microsoft\Daemon]
[将要]被[创建]的[HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Internet Settings\Connections] [将要]被[创建]的[HKEY_LOCAL_MACHINE\Software\Microsoft\Tracing\services_RASAPI32]
[将要]被[修改]的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Services] [将要]被[修改]的[[将要]被[修改]的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Services] [将要]被[修改]的[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings] [将要]被[修改]的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\2_RASMANCS\FileTracingMask] [将要]被[修改]的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\JavaVM]
------------------------------------------------------------------------------------------------------------------------------------------
网络症状
被监听的端口,向指定目标及端口的网络活动及类型,等等
被监听的端口:0.0.0.0:1034
------------------------------------------------------------------------------------------------------------------------------------------
详细分析/功能介绍
首先,此详细非彼详细。一份好的报告应该能让尽可能多的读者读懂,而不仅仅局限于分析师。本节的主要目的是向潜在读者提供样本的详细功能。
当[2.exe]被运行过后,会进行如下操作: 1、释放恶意程序service.exe(C:\Windows\services.exe)和java.exe(C:\Windows\java.exe),并通过java.exe设置运行环境。
这是一个关于连接网络的函数,由此可知该病毒与网络有关。
------------------------------------------------------------------------------------------------------------------------------------------
2、自动启动释放出来的service.exe会打开设备\Device\Nsi,\Device\Afd。Service.exe会启动系统进程。比如:dllhost.exe、wermgr.exe、ws2_32.dll(C:\Windows\System32\ws2_32.dll)、dtrampo.dll(C:\Windows\System32\dtrampo.dll)。 ------------------------------------------------------------------------------------------------------------------------------------------
3、service.exe会遍历注册表和文件夹,拷贝内存,并且设置注册表(与网络相关的注册表),设置开机启动,降低系统安全。并释放恶意模块[comctl32.dll] ------------------------------------------------------------------------------------------------------------------------------------------ 4、2.exe会删除C:\Users\lubian\AppData\Local\Temp里面的tmp格式的文档以及设置过环境的java.exe。并且会修改用户IE游览器信息。service.exe会写入和修改C:\Users\lubian\AppData\Local\Temp里面的log格式的文档,并且遍历文件夹。 ------------------------------------------------------------------------------------------------------------------------------------------
5、2.exe会创建外部连接,连接远程IP。
------------------------------------------------------------------------------------------------------------------------------------------ 6、2.exe会监听本地IP 0.0.0.0:1034,并且向远程连接的IP发送数据包,从而窃取用户资料。
如果有必要,并且可能的话,请注意区分各个模块的功能,这是因为如果不同模块发生了变化,读者可以更好的理解为什么某些症状出现了,某些没有,可能受到的影响又有些什么,等等。
[2.exe]是一个木马主体,被运行后会释放主要程序:service.exe和java.exe。并且会遍历文件夹和创建、修改文件,连接外部IP,发送数据包。
[service.exe]是一个辅助木马主题,被运行后能够修改和创建注册表,打开设备,启动系统进程的恶意程序。 [java.exe]辅助工具,可以设置[service.exe]和[2.exe]所需要的环境变量。
------------------------------------------------------------------------------------------------------------------------------------------
相关服务器信息分析
本节可以提供一些详细的目标域名, IP 地址,邮件地址等等相关信息。这样可以方便企业/政府用户更好的了解/追踪该恶意代码的作者/运营者。
------------------------------------------------------------------------------------------------------------------------------------------
预防及修复措施
当然,如果就职于某行业内公司,本节通常会提供相关产品的修复操作步骤。
不过这里我们还是为那些没有安装安软的普通用户来介绍一下,需要安装的安全补丁,如何手动恢复被感染的环境,例如如何一步步的删除/修改相关注册表键值,文件等等。
预防:不要关闭防火墙。运行2.exe防火墙会提示连接外部网络,要拒绝。
修复:我还是新手,还不知道怎么手动修复...全盘杀毒....
------------------------------------------------------------------------------------------------------------------------------------------
技术热点及总结
此节可以讨论技术的一些细节。 我还是新手.... ------------------------------------------------------------------------------------------------------------------------------------------ 病毒样本:
2.zip
(25.55 KB, 下载次数: 30)
解压密码:123 注意:是病毒哦!
| 
发表于 2016-1-6 10:46
发表于 2016-1-6 10:57
|
发表于 2016-1-6 10:54
