问答:
问:你为什么会设立这个(样本分析)栏目?
答:虽然平时会接触一些样本,并做以分析.但是分析的结果很少成文.以模板的形式提高和记录自己的分析能力变化的过程.尝试与真正的反病毒工程师职业接轨.另则平时分析一些程序大都分析一些自己感兴趣的地方,这次是为了给自己立一个标杆.问:你通过什么工具去分析呢?直接是在线虚拟机吗?
答:虽然我认为在线虚拟机非常强也比较完善.但是我的栏目在初期是不会直接用在线虚拟机的.就像计算器和数学课的关系.我会通过我写的反病毒入门工具集中涉及的工具去分析那些样本特征和行为.如果网友感兴趣请参阅该文集.问:冒昧地问一句”查杀密招数”是纸上谈兵吗?
答:我可以很明确地回答这个问题:No.我会尝试用我的机器去运行这些样本,并将它们一个一个干掉.我会事后总结这个过程的捷径.如你所知,恶意程序从来都不希望自己被清理掉,而且他们也在这样去做.杀毒者如何避开雷区?将是一场精彩的对决.问:最后一个问题.你的文章如何帮助遭到恶意攻击的网友?或者受害者如何找到这里?
这个问题非常好,我会尝试用MD5作为样本分析标题的一部分,这样受害者如果使用搜索引擎来搜索自己运行的恶意程序的MD5就会找到这里.不得不说,普通的网民还少有这样的意识.
0如何查杀及样本评点请看文末
+——————————————————–+
+ 获取日期: 2015-XX-XX +
+ 样本来源: XXX +
+——————————————————–+
1.特征
+——————————————————–+
+ 样本编号: 2.1 +
+ 样本名称: xxx.exe +
+ 样本大小: xxx 字节 +
+ 样本MD5 : xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx +
+——————————————————–+
2.外部特征
//Logo,属性,证书,etc.
3.行为
0 . 运行环境
1 . 进程
创建(隐藏)进程:
%SYSTEMROOT%\system32\xxx.exe user
2 . 文件行为
释放如下文件:
%SYSTEMROOT%\system32\xxxadd1.exe
%SYSTEMROOT%\system32\xxxadd2.exe
删除如下文件:
%SYSTEMROOT%\system32\xxxdel1.exe
%SYSTEMROOT%\system32\xxxdel2.exe
感染如下文件:
%SYSTEMROOT%\system32\xxxappend1.exe
%SYSTEMROOT%\system32\xxxappend2.exe
3 . 网络行为
3.1 解析域名
www.xxx.com —–> xxx.xxx.xxx.xxx
3.2 数据交互
访问如下链接:
4 . 启动方式
4.1 系统服务
显示名称: xxx
服 务 名: xxx
服务描述: xxx
文件路径: %SYSTEMROOT%\system32\xxx.exe
启动类型: 自动
4.2 注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
下添加如下项/键:
项/键名: xxx
路径: %SYSTEMROOT%\system32\xxxadd1.exe
5 . 自我保护
5.1 注入到xxx进程
5.2 自动关闭xxx杀毒软件或防火墙
6 . 总结
该样本是/不是恶意软件.
分析感言
该样本的分类,特点,目的以及评点.
查杀密招
如何避开重重毒瘴,排兵杀毒.提供解决此样本引起问题的方案.
.
.
.