Svchosts病毒分析报告

最新推荐文章于 2022-12-14 18:26:57 发布
最新推荐文章于 2022-12-14 18:26:57 发布
阅读量1.3k 收藏 1
点赞数
分类专栏: 病毒分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_20977145/article/details/52863829
版权

基本信息
报告名称: Svchosts病毒分析报告
作者: 晨雾
报告更新日期:2016-10-17
样本发现日期:2016-10-17
样本类型: 盗号木马
样本文件大小:75KB
样本文件MD5 校验值: 2ce214f1734e0247b7223a39dcc99f64
样本文件SHA1 校验值:23051d7a6dd19abd60d3b2143d80ea873328593e
壳信息: 无壳(编译器Microsoft Visual C++ 6.0)

简介
此样本属于典型的游戏盗号木马,运行之后首先通过复制自身到系统文件夹、添加开机启动项和添加防火墙例外和关闭杀软来保护自己,然后伪装成系统进程svchost.exe运行,同时查找并激活激活知名盗号病毒文件lpk.dll和猫藓病毒usp10.Dll来实施游戏盗号。
文件系统变化
拷贝自身到其它目录C:\Program Files\Common Files\System并修改文件名为svchost.exe同时设置文件为隐藏属性。
注册表变化
设置开机启动项(将键值命名为Windows Update起到迷惑作用)

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows Update
Windows Update = C:\Program Files\Common Files\System\svchost.exe

添加防火墙例外

HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\Program Files\Common Files\System\svchost.exe

网络症状
尝试连接以下域名,irc.alphairc.com已经不能访问,irc.criten.net
已经是空白页
irc.alphairc.com
irc.criten.net
详细分析/功能介绍
当[svchosts.exe]被运行后,会进行如下操作:
这里写图片描述
1. 检测操作系统是否运行在Vmware虚拟机或蜜罐中,如果发现自动终止运行
这里写图片描述
图 检测当前用户名
2. 将恶意代码复制到C:\Program Files\Common Files\System目录并重命名为svchost.exe,同时设置文件为隐藏属性
这里写图片描述
图 构造目标文件路径
这里写图片描述
图 复制文件数据到新建的文件中

  1. 以命令行形式创建新进程svchost.exe
    这里写图片描述
    图 创建新进程svchost.exe

  2. 设置如下注册表键值以在系统重新启动后自动加载
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows Update
    [Windows Update]=” C:\Documents and Settings\Administrator\桌面\test\svchosts\svchosts.exe ”
    这里写图片描述
    图 设置注册表
    这里写图片描述
    图 解密函数
    这里写图片描述
    图 注册表键值在内存动态解密值

  3. 设置如下注册表键值将自身添加到防火墙白名单以降低系统安全
    HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\Program Files\Common Files\System\svchost.exe
    数值= C:\Documents and Settings\Administrator\桌面\test\svchosts\svchosts.exe:*:Enabled:Windows Update

  4. 尝试连接如下域名以远程监控和控制:
    irc.alphairc.com
    irc.criten.net
    这里写图片描述
    图 此网站已经无法打开
    这里写图片描述
    图 此链接已指向空白页
    这里写图片描述

  5. 查找系统中杀软进程,包括“大蜘蛛”(spider.exe、spoolsv)和“麦咖啡”McAfee.exe等,如果进程没有启动则删除相关文件,否则退出程序
    这里写图片描述
    图 查找“大蜘蛛”
    这里写图片描述
    图 查找“麦咖啡”
    这里写图片描述
    图 部分进程名称列表
    这里写图片描述
    图 删除系统路径指定文件

  6. 查找游戏进程名:JAVAW.EXE [我的世界(Minecraft)]和SC.EXE [星际文明online]等。

    这里写图片描述
    这里写图片描述
    图 查找游戏进程

  7. 将以上所有收集到的信息加密后发送至[irc.criten.net]
    这里写图片描述
    图 上传所查找文件的删除信息

小结:

此样本属于典型的远控木马,运行后会做简单的自我防护,并且会与知名盗号病毒文件lpk.dll和猫藓病毒usp10.Dll来实施游戏盗号。从查找的到的字符串和针对的杀软来看,此木马作者来自国外,且开发时间已经比较久远,但是此木马综合了大部分木马典型的功能,仍然具有研究价值。

遗憾的是网址已经不能使用,不能获得更多信息,其中从查找的字符串来看,此木马还具有简单的弱口令猜测能力,由于能力有限,反编译代码量大,不在进一步详细分析。

王二娃的生活
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
骷髅头病毒分析报告
12-25
原创利用逆向分析工具IDAPro进行分析骷髅头病毒感染迹象以及特征码
勒索病毒分析报告
w_g3366的博客
09-07 3687
文章目录勒索病毒分析报告1.样本概况1.1 样本信息1.2 测试环境及工具1.3 分析目标1.4 样本行为概述2.具体行为分析2.1 主要行为2.2 提取恶意代码2.3 恶意代码分析3.解决方案3.1 提取病毒的特征,利用杀毒软件查杀3.2 手工查杀步骤或是查杀思路 勒索病毒分析报告 1.样本概况 1.1 样本信息 病毒名称:DBD5BEDE15DE51F6E5718B2CA470FC3F 所属家...
Svchost.exe是病毒的两种情况
shirley的专栏
04-13 2万+
1.利用假冒Svchost.exe名称的病毒程序 这种方式运行的病毒并没有直接利用真正的Svchost.exe进程,而是启动了另外一个名称同样是Svchost.exe的病毒进程,由于这个假冒的病毒进程并没有加载系统服务,它和真正的Svchost.exe进程是不同的,只需在命令行窗口中运行一下“Tasklist /svc”,如果看到哪个Svchost.exe进程后面提示的服务信息是“暂缺”,而不
Svchost.exe病毒的简单处理
xiacsd的专栏
10-20 2万+
Svchost.exe占用内存过大解决   1.当发现Svchost.exe不在%systemroot%\System32目录中的,可以安全删除,同时在注册表中查找对应的注册项删除掉。 或用tasklist/svc命令查看svchost.exe 右边的服务是不是“暂缺”,是的话为中毒了。   2.Svchost.exe在%systemroot%\System32目录,说明Svch
SVCHOST启动服务实战
黄黄臭臭的便便到铜钱
04-24 9890
转载出处: https://sanwen8.cn/p/2cenbHs.html Svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。这个程序对系统的正常运行是非常重要。
那是什么进程 —— svchost.exe是什么? 它为何运行?
cdestiny的专栏
08-16 8166
那是什么进程 —— svchost.exe是什么? 它为何运行?         你几乎毫不犹豫的来阅读这篇文章是因为你也觉得奇怪, 究竟为什么那里有一打正在运行的进程都叫做 svchost.exe. 你不能终止它们运行, 你也不记得什么时候开始运行它们的...那么它们究竟是什么呢?          我们写了一系列的文章用来解释在任务管理器里发现的各种进程,
关于Win10系统-svchost大量占用网速及自动更新问题——完美解决
热门推荐
张兴华的博客
12-28 11万+
-2018.04.03更新   最近发现这个要命的svchost.exe竟然还在抢我的网,于是又折腾了一番,现在更新解决办法,另附带win10系统完全关闭自动更新解决办法。   首先先将之前更新的方法做一遍,就是在开始菜单找到应用商店或者在系统设置–更新和安全–激活–右侧转到应用商店。然后点击应用商店右上角的…,找到设置项–将自动更新应用关闭。   然后win键+R 打开运行,输入 serv...
win7 svchost.exe占用内存和CPU很高,电脑很卡的解决方法
请叫我大师兄
10-19 6万+
本来系统用来很久都不会卡,或者说原来的问题我都已经解决过了,但是有一天,用360扫描了一下,发现Windows有些更新,我就点更新了。 这不更新倒好,电脑没啥毛病, 但是 更新之后,我就发现我的浏览器莫名其妙的卡了一会,然后基本就是死机的感觉,法科,不能忍。 查看进程,发现svchost.exe这个进程怎么出来啦,我记得以前我收拾过他的。 可能就是昨天的360更新使得这个家伙死灰复燃啦。
svchost.exe占用cpu100 的解决方法
路漫漫 修远兮
05-12 1万+
今天郁闷了,星期六自主去公司加下班,下午来的开机下个DW5结果界面卡了半天以为同事在下载,就开P2P监视下,结果发现是自己的机子的下载上传特别的高,麻痹神马情况,直接开 开启流量监测,没有进程,或程序占资源,这不可能的,直接转 显示所有程序 发现了 svchost.exe 这个占了 上传下载也太离谱了 简直比病毒还恐怖。 路径:C:\WINDOWS\system32\svchost.exe
Svchost.exe 程序占用CPU高
猫咪的一生,
01-09 1万+
问题程序解释: Svchost.exe是一个属于微软Windows操作系统的系统程序 官方解释:Svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。这个程序对系统的正常运行是非常重要,而且是不能被结束的。   问题说明: Svchost.exe占用CPU百分之90以上,使用任务管理器结束任务或者重启后反复存在并占用CPU   问题解决: 先使用杀毒软...
理解一下svchost启动到一些服务
weixin_33711641的博客
04-28 1308
发现联网 发现参数 C:\Windows\system32\svchost.exe -k netsvcs -p -s WpnService. 转到服务查看服务 到注册表中查找 转载于:https://blog.51cto.com/antivirusjo/2108962
病毒分析报告模板
04-05
病毒分析报告模板,让你的病毒分析跟明了,更规范
svchost进程的浅析
逆枫 -- C++/Qt工程师、创业者
07-30 2969
今天我就以为个人的能力去研究一下,一个重要的进程svchost,本人水平极其有限,而svchost又是微软的一个非常重要的进程,很强大,所以题目就叫svchost进程的浅析,如果 有高手,可以后面跟贴补充~~~不甚感激! 科普一下: 写过一些病毒和木马的人,也许一定不会对svchost进程感到陌生,中过木马的人也许也看到过这个进程,没错,svchost进程,曾几何时一度风靡病毒界,很
网络靶场实战-免杀技术之虚假父进程
蛇矛实验室
12-14 1323
本篇文章涉及了几个重要的点,CreateProcessA ETW 父进程伪装。目前我们所做的免杀并非单个技术就可以完成的,我们要结合很多种免杀的手段或者动态改变的手段才能让自己的程序在对抗杀软的时候不落下风。蛇矛实验室成立于2020年,致力于安全研究、攻防解决方案、靶场对标场景仿真复现及技战法设计与输出等相关方向。团队核心成员均由从事安全行业10余年经验的安全专家组成,团队目前成员涉及红蓝对抗、渗透测试、逆向破解、病毒分析、工控安全以及免杀等相关领域。
揭开SVCHOST.exe进程之谜
§为艺术而技术§
07-20 1420
作者:  时间:2004-7-2  文档类型:转载  来自:天极网浏览统计 year:7849 | Quarter:7849 | Month:7849 | Week:1006 | today:382   svchost.exe是nt核心系统的非常重要的进程,对于2000、xp来说,不可或缺。很多病毒、木马也会调用它。所以,深入了解这个程序,是玩电脑的必修课之一。   大家
svchost进程详解
weixin_33714884的博客
05-18 255
svchost进程 XP中Svchost.exe进程的数目就上升到了4个及4个以上。如何才能辨别哪些是正常的Svchost.exe进程,而哪些是病毒进程呢? 如果你怀疑计算机有可能被病毒感染,Svchost.exe的服务出现异常的话通过搜索Svchost.exe文件就可以发现异常情况。一般只会找到一个“C:\Window...
svchost.exe 进程之谜
weixin_30639719的博客
12-12 87
svchost.exe是nt核心系统的非常重要的进程,对于2000、xp来说,不可或缺。很多病毒、木马也会调用它。所以,深入了解这个程序,是玩电脑的必修课之一。 svchost.exe是nt核心系统的非常重要的进程,对于2000、xp来说,不可或缺。很多病毒、木马也会调用它。所以,深入了解这个程序,是玩电脑的必修课之一。 大家对windows操作系统一定不陌生,但你是否注意到系统中“s...
恶意代码分析模板
hupoling的专栏
12-28 9万+
基本信息   报告名称:                                                       作者:                                                               报告更新日期:                                               样本发现日期:
后端开发是一个涉及广泛技术和工具的领域.docx
最新发布
04-30
后端开发是一个涉及广泛技术和工具的领域,这些资源对于构建健壮、可扩展和高效的Web应用程序至关重要。以下是对后端开发资源的简要介绍: 首先,掌握一门或多门编程语言是后端开发的基础。Java、Python和Node.js是其中最受欢迎的几种。Java以其跨平台性和丰富的库而著名,Python则因其简洁的语法和广泛的应用领域而备受欢迎。Node.js则通过其基于JavaScript的单线程异步I/O模型,为Web开发提供了高性能的解决方案。 其次,数据库技术是后端开发中不可或缺的一部分。关系型数据库(如MySQL、PostgreSQL)和非关系型数据库(如MongoDB、Redis)各有其特点和应用场景。关系型数据库适合存储结构化数据,而非关系型数据库则更适合处理大量非结构化数据。 此外,Web开发框架也是后端开发的重要资源。例如,Express是一个基于Node.js的Web应用开发框架,它提供了丰富的API和中间件支持,使得开发人员能够快速地构建Web应用程序。Django则是一个用Python编写的Web应用框架,它采用了MVC的软件设计模式,使得代码结构更加清晰和易于维护。
使用 Get-WmiObject 命令列出所有用户名非"local service","system","network service" 的svchost进程列表,然后获取该列表中第一个PID,并转换为int类型赋值给一个变量。
05-23
$svchosts = Get-WmiObject -Class Win32_Process | Where-Object {$_.Name -eq "svchost.exe" -and $_.GetOwner().User -notin @("LocalService", "System", "NetworkService")} | Select-Object -Property Process...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值