病毒分析报告-样本MD5:7BF49CD89EAEF7FBAD1151D2B1BD9126
2015-07-16 23:43
423 查看
0.如何查杀及样本评点请看文末
+——————————————————–++ 获取日期: 2015-07-13 +
+ 样本来源: 精锐 +
+——————————————————–+
1.特征
+——————————————————–++ 样本编号: 07 +
+ 样本名称: 无名称信息 +
+ 样本大小: 80384 字节 +
+ 样本MD5 : 7BF49CD89EAEF7FBAD1151D2B1BD9126+
+—SHA256: D3EB9AA5753BE2925E4CEA053E7D944D8CB2C3C758B0943756DA577493EF0D67+
+——————————————————–+
2.外部特征
//Logo,属性,证书,etc.图标:无
链接时间:2015.07.11/01:51:26
源文件名:gg.exe
产品名称:gg.exe
Assembly Version:0.0.0.0
证书:无
编译工具等信息:
Babel v7.0.0.NET Obfuscator
Borland Delphi 2006/2007 - www.borland.com [ * Internet Behavior on ->> wsock32.dll
3.行为
0 . 运行环境xp
1 . 进程
创建新进程:
C:\Documents and Settings\Administrator\Local Settings\Temp\server.exe(自身的拷贝)
创建新线程:
加载了mscoree.dll
加载了mscorwks.dll
创建新进程
C:\WINDOWS\system32\netsh.exe(微软网络配置服务)
2 . 文件行为
释放如下文件:
C:\Documents and Settings\Administrator\Local Settings\Temp\server.exe(自身的拷贝)
C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\b89abee708c08a62a4f92ccac672ebca.exe(自身的拷贝)
删除如下文件:
无
感染如下文件:
无
3 . 网络行为
3.1 解析域名
samo22.no-ip.org
3.2 数据交互
无
4 . 行为
4.1 系统服务
无
4.2 注册表
.1
键值
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
值
AppData
数据
C:\Documents and Settings\Administrator\Application Data
.2
键值
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
值
Cache
数据
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
.3
键值
HKU\S-1-5-21-2025429265-1644491937-1177238915-500
值: di
数据:!
.4
键值
HKCU\Environment
值:SEE_MASK_NOZONECHECKS
数据:1
.5
键值
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
值:b89abee708c08a62a4f92ccac672ebca
数据:”C:\Documents and Settings\Administrator\Local Settings\Temp\server.exe”..
.6
键值
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
值:b89abee708c08a62a4f92ccac672ebca
数据:”C:\Documents and Settings\Administrator\Local Settings\Temp\server.exe”..
.7
键值
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
值:Startup
数据:C:\Documents and Settings\Administrator\「开始」菜单\程序\启动
.8创建
键值
HKCU\Software\b89abee708c08a62a4f92ccac672ebca
值:N/A
数据:N/A
.8
键值
HKCU\Software\b89abee708c08a62a4f92ccac672ebca
值:[kl]
数据:N/A
样本配置netsh导致对注册表的改变:
4.3内存操作
netsh firewall add allowedprogram “C:\Documents and Settings\Administrator\Local Settings\Temp\server.exe” “server.exe” ENABLE
5 . 自我保护
无.
6 . 总结
该样本是恶意软件.
分析感言
该样本被加壳.且依靠.net运行库运行.对自身隐蔽改名,运行无窗口无提示.添加启动项.将自身添加到防火墙白名单,再通过查询互联网DNS转IP服务期望与远程主机连接.查杀密招
直接用任务管理器结束掉此程序的主程序.找到对应启动项删除即可.相关文章推荐
- C语言sizeof
- [CortexM0--stm32f0308]discovery开发板
- (一) Qt Model/View 的简单说明
- cug1181
- 约瑟夫环问题的公式推导
- _beginthreadex()与CreateThread()函数的区别
- nodejs+socket.io聊天室
- linux xmlrpc 服务端 java客户端
- Java基础---IO流
- centos6.5 gcc 库升级
- ZABBIX企业监控实践(1):ZABBIX详细部署过程 推荐
- android--轻量级缓存框架ASimpleCache分析
- [codeigniter 三]、例子——“Hello World!”
- 基于cocos2dx的飞机大战学习[四]-添加英雄子弹
- 【Android4高级编程笔记】深入探讨Android Activity
- dup和dup2函数
- Leetcode: Power of Two
- Java中如何编解码
- UAC
- openSession()与getCurrentSession()区别