恶意代码分析
chenchen0708
这个作者很懒,什么都没留下…
展开
-
DNF盗号木马之突破令牌密保
木马运行后自我复制,删除自身启动双进程互相保护循环查找"地下城与勇士"窗口发现DNFCHINA.EXE进程及窗口为类ThunderRT6FormDC,窗口标题"地下城与勇士"判断游戏是否运行,如果发现DFN则结束并根据游戏目录下的\start\ui\res的资源创建一个虚假的窗口,提示”安全检查完成“,诱使用户输入帐号,密码,并诱使用户自己解绑令牌原创 2013-07-22 14:18:58 · 1177 阅读 · 0 评论 -
反虚拟机沙箱恶意代码分析
随着高级可持续攻击威胁对抗技术的不断发展,针对恶意代码进行分析,检测未知恶意代码,经常利用虚拟机技术。RSA展会也有很多安全厂商使用这些技术进行反APT分析,传统的反病毒厂商和僵尸网络追踪团队也都利用虚拟机进行大量的分析获取样本运行的海量信息进行分析处理。厂商们所使用的虚拟机软件通常包括VMware、VirtualBox等,这些虚拟机可以在一台物理计算机上模拟出多台虚拟的计算机,这些虚拟机完全就像原创 2013-08-19 09:35:36 · 3426 阅读 · 0 评论 -
白加黑木马拆分HTTP协议躲避网络单包侦测
追影发现一起白加黑类型的恶意样本,有很多对抗有趣的实现1 利用ip138获取域名iphttp://www.ip138.com/ips138.asp?ip=wei6936630.xicp.net2 在发送HTTP协议的时候对协议进行了拆分发送GET协议发送了三次原创 2013-09-18 17:45:16 · 2139 阅读 · 2 评论 -
肉鸡美眉跨平台DDoS组织
2014年,安天实验室ShadowHunter团队分析发现了一个恶意代码,其创建的系统互斥量的名字为“Chicken_Mutex_MM”,故命名其为“肉鸡美眉”。该样本的主要功能是收集服务器基本信息并进行DDoS攻击。经过关联分析,我们发现其衍生变种还具有跨平台能力,主要包括Windows和Linux系统两个版本,而Windows版本样本最早在2009年12月就已出现。“肉鸡美眉”开发者采用了SVN协作开发,跨越5年持续演进,随着Linux服务器在国内不断增加且Windows系统受到诸多限制,从事DDoS的原创 2015-01-26 10:19:59 · 987 阅读 · 0 评论 -
危险的CHM电子书
0x1 摘要:利用CHM格式文件的hhctrl控件的灵活易用性,可以成功执行任意可执行程序,而且没有UAC报警,CHM格式就变成了一个具有潜在威胁的EXE程序.因此黑客很容易利用这种帮助文档执行恶意程序,广大网民针对帮助文档文件的警惕性往往比EXE文件要低很多,使黑客更加容易入侵成功。0x2 原理:CHM文件格式是微软1998年推出的基于HTML文件特性的帮助文件系统,由于使用方便形式原创 2015-03-16 08:39:19 · 2345 阅读 · 0 评论 -
泰州亿涛通信被放马
通过对恶意代码中URL的挖掘,发现一个下载链接http://www.tzyitao.com/csrss.exe,进入链接后就会下载一个csrss.exe的文件,通过分析发现该文件是一个Gh0st远控木马。该木马通过挂载到其他网站上进行传播,而此次事件中,被挂马的网站是泰州市亿涛通信设备厂的网站http://www.tzyitao.com。 图1:泰州市亿涛通信设备厂网站主页通过现在连接原创 2015-05-21 10:37:59 · 1519 阅读 · 0 评论