病毒分析报告-样本MD5:7BF49CD89EAEF7FBAD1151D2B1BD9126

0.如何查杀及样本评点请看文末

+——————————————————–+

+ 获取日期: 2015-07-13 +

+ 样本来源: 精锐 +

+——————————————————–+

1.特征

+——————————————————–+

+ 样本编号: 07 +

+ 样本名称: 无名称信息 +

+ 样本大小: 80384 字节 +

+ 样本MD5 : 7BF49CD89EAEF7FBAD1151D2B1BD9126+

+—SHA256: D3EB9AA5753BE2925E4CEA053E7D944D8CB2C3C758B0943756DA577493EF0D67+

+——————————————————–+

2.外部特征

//Logo,属性,证书,etc.

图标:无

链接时间:2015.07.11/01:51:26

源文件名:gg.exe

产品名称:gg.exe

Assembly Version:0.0.0.0

证书:无

编译工具等信息:

Babel v7.0.0.NET Obfuscator

Borland Delphi 2006/2007 - www.borland.com [ * Internet Behavior on ->> wsock32.dll

3.行为

0 . 运行环境

xp

1 . 进程

创建新进程:

C:\Documents and Settings\Administrator\Local Settings\Temp\server.exe(自身的拷贝)

创建新线程:

加载了mscoree.dll

加载了mscorwks.dll

创建新进程

C:\WINDOWS\system32\netsh.exe(微软网络配置服务)

2 . 文件行为

释放如下文件:

C:\Documents and Settings\Administrator\Local Settings\Temp\server.exe(自身的拷贝)

C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\b89abee708c08a62a4f92ccac672ebca.exe(自身的拷贝)

删除如下文件:

无

感染如下文件:

无

3 . 网络行为

3.1 解析域名

samo22.no-ip.org

3.2 数据交互

无

4 . 行为

4.1 系统服务

无

4.2 注册表

.1

键值

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders

值

AppData

数据

C:\Documents and Settings\Administrator\Application Data

.2

键值

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders

值

Cache

数据

C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files

.3

键值

HKU\S-1-5-21-2025429265-1644491937-1177238915-500

值: di

数据:!

.4

键值

HKCU\Environment

值:SEE_MASK_NOZONECHECKS

数据:1

.5

键值

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

值:b89abee708c08a62a4f92ccac672ebca

数据:”C:\Documents and Settings\Administrator\Local Settings\Temp\server.exe”..

.6

键值

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

值:b89abee708c08a62a4f92ccac672ebca

数据:”C:\Documents and Settings\Administrator\Local Settings\Temp\server.exe”..

.7

键值

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders

值:Startup

数据:C:\Documents and Settings\Administrator\「开始」菜单\程序\启动

.8创建

键值

HKCU\Software\b89abee708c08a62a4f92ccac672ebca

值:N/A

数据:N/A

.8

键值

HKCU\Software\b89abee708c08a62a4f92ccac672ebca

值:[kl]

数据:N/A

样本配置netsh导致对注册表的改变:






4.3内存操作

netsh firewall add allowedprogram “C:\Documents and Settings\Administrator\Local Settings\Temp\server.exe” “server.exe” ENABLE

5 . 自我保护

无.

6 . 总结

该样本是恶意软件.

分析感言

该样本被加壳.且依靠.net运行库运行.对自身隐蔽改名,运行无窗口无提示.添加启动项.将自身添加到防火墙白名单,再通过查询互联网DNS转IP服务期望与远程主机连接.

查杀密招

直接用任务管理器结束掉此程序的主程序.找到对应启动项删除即可.