【网络安全】Xred蠕虫再分析及修复工具编写

本文详细分析了Xred蠕虫的行为,包括蠕虫模块、EXE和XLSX文件的感染过程,以及提供了解决方案。蠕虫通过感染EXE和XLSX文件在用户系统中潜伏,修复工具利用COM组件进行文件修复。解决方案包括查找并关闭病毒进程,清除自启动项,修复被感染的EXE和XLSX文件。
摘要由CSDN通过智能技术生成

这个病毒很老了,已经有很多前辈分析过该病毒,跟着前辈们的思路深入分析一下,并编写一个清理工具。这是我分析的第一个真实环境下的恶意样本,文中如果有不正确的地方请指正。只需要清理工具的话,直接下滑到
解决方案 一节。

病毒行为总览

代码使用Delphi7编写,后续分析汇编代码发现有对XP系统和更高版本windows做了兼容处理,在这些系统上都可以正确感染,年代久远(我还没用过xp…)。被感染机器的 C:\ProgramData\目录下会有Synaptics目录,其下包含原始的恶意样本,但是图标不固定(图标会更新为最近一次运行被感染exe文件的图标),病毒生成的大部分文件都将其设置为 隐藏文件和系统文件(Exlporer设置显示隐藏文件和系统文件或命令行下attrib即可看到)。
在这里插入图片描述
被感染机器的Desktop、Documents、Downloads目录下的32位EXE文件和xlsx文件都会被掉包,但是用户并不会有察觉,导致文件分享给他人时,大范围感染。

病毒包含很多模块,下面是一个大体功能图,其中和网络连接有关的模块的IOC都已经失效。

在这里插入图片描述

→点击获取网络安全资料·攻略←

2000多本网络安全系列电子书
网络安全标准题库资料
项目源码
网络安全基础入门、Linux、web安全、攻防方面的视频
网络安全学习路线图

蠕虫模块分析

通过 SHGetSpecialFolderLocation和
SHGetPathFromIDListA来获取要感染的目录(清理工具的编写也会通过这种方式)。病毒会获取Desktop、Downloads和Documents的路径并递

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值