病毒分析报告-样本MD5 : 1576C10BD588D5EC4F22D43ED83FD2D0

最新推荐文章于 2021-08-24 19:06:45 发布
最新推荐文章于 2021-08-24 19:06:45 发布
阅读量2.4k 收藏
点赞数
分类专栏: 样本分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dalerkd/article/details/46884575
版权

0.如何查杀及样本评点请看文末

+——————————————————–+
+ 获取日期: 2015-07-13 +
+ 样本来源: 精锐 +
+——————————————————–+

1.特征

+——————————————————–+
+ 样本编号: 04 +
+ 样本名称: 无名称信息 +
+ 样本大小: 675840 字节 +
+ 样本MD5 : 1576C10BD588D5EC4F22D43ED83FD2D0 +
+—SHA256:6CDDDBDE8B72694B9B75F70391B80D09EF94182B98EC2B0F502CAAEC1DD14499+
+——————————————————–+

2.外部特征

//Logo,属性,证书,etc.
图标:无
链接时间:2012.04.15/18:06:52
源文件名:MSRSAAP.EXE
产品名称:Remote Service Application
公司:Microsoft Corp.
版权:Copyright (C) 1999
证书:无
编译工具等信息:
Borland Delphi 2006/2007 - www.borland.com [ * Internet Behavior on ->> wsock32.dll

3.行为

0 . 运行环境
xp

1 . 进程

创建新进程:
无.
创建新线程:
导入了GdiPlus.dll

2 . 文件行为

释放如下文件:

C:\Documents and Setting\Administrator\Application Data\dclogs\2015-07-13-2.dc
内容摘要:
”’
:: SysTracer - C:\Documents and Settings\Administrator\桌面\可识别1234\可识别\04.vir.exe (12:24:17)
[DOWN][UP][DOWN][UP][DOWN][DOWN][DOWN][DOWN][DOWN][DOWN][UP][UP][UP][UP][UP][UP][DOWN][DOWN][DOWN][DOWN][DOWN][DOWN][DOWN][DOWN][DOWN][UP][UP][UP][UP][UP][UP][UP]

:: PowerTool x86 V4.6 (12:27:10)

:: 04 (12:27:22)

:: PowerTool x86 V4.6 (12:29:39)

:: Clipboard Change : size = 0 Bytes (12:29:39)

:: SysTracer - C:\Documents and Settings\Administrator\桌面\可识别1234\可识别\04.vir.exe (12:29:54)

:: Program Manager (12:32:42)
”’

删除如下文件:

感染如下文件:

3 . 网络行为

3.1 解析域名

lole.no-ip.biz

3.2 数据交互

4 . 行为

4.1 系统服务

4.2 注册表

.1创建
HKCU\Software\DC3_FEXEC

.2设置
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders

项/键名: AppData
数据: C:\Documents and Settings\Administrator\Application Data

.3设置
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C
键值:BaseClass
数据:Drive

.4设置
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\D
键值:BaseClass
数据:Drive

4.3Hook
1全局钩子
以自身模块为信息设置全局钩子.

5 . 自我保护

无.(有提权操作)

6 . 总结

该样本是恶意软件.

分析感言

该样本属性信息伪装微软程序.使用全局钩子窃取用户键入,属于典型键盘记录程序.通过将用户输入内容记录后发送到一个国外免费静态转动态中转网站(类似于花生壳)来达到窃密的目的.值得注意的是此样本并没有设置启动项的步骤.由于没有加壳又没有任何干扰.行为较为简单.认为这可能是某个新手的试水之作.

查杀密招

直接用任务管理器结束掉此程序,并删除以上被添加被修改的注册表项即可.

dalerkd
关注
专栏目录
[Python从零到壹] 十二.机器学习之回归分析万字总结全网首发(线性回归、多项式回归、逻辑回归)
杨秀璋的专栏
07-03 4万+
前一篇文章讲述了数据分析部分,主要普及网络数据分析的基本概念,讲述数据分析流程和相关技术,同时详细讲解Python提供的若干第三方数据分析库,包括Numpy、Pandas、Matplotlib、Sklearn等。本文介绍回归模型的原理知识,包括线性回归、多项式回归和逻辑回归,并详细介绍Python Sklearn机器学习库的LinearRegression和LogisticRegression算法及回归分析实例。进入基础文章,希望对您有所帮助。
[系统安全] 二十六.WannaCry勒索病毒分析 (2)MS17-010漏洞利用及蠕虫解析
杨秀璋的专栏
03-01 8627
作者前文采用Github资源实现永恒之蓝漏洞加载WannaCry勒索病毒,并实现对Win7文件加密的过程,但过程较为复杂,为什么不直接利用永恒之蓝呢?所以,这篇文章将直接分享MSF利用MS17-010漏洞进行反弹Shell,再上传勒索病毒进行实验复现,并详细讲解WannaCry勒索病毒的原理。基础性文章,希望对您有所帮助。
字符串的MD5特征值 ,文件的MD5特征值。
03-25
求取字符串 或者文件的 MD5值· textbox.text=Jamse_MD5.GetFileMD5Hash(m_filename); textbox.text=Jamse_MD5.GetStringMD5Hash(m_string);
病毒分析报告-样本MD5:7BF49CD89EAEF7FBAD1151D2B1BD9126
KD的疯狂实验室
07-16 2873
0.如何查杀及样本评点请看文末+——————————————————–+ + 获取日期: 2015-07-13 + + 样本来源: 精锐 + +——————————————————–+1.特征+——————————————————–+ + 样本编号: 07 + + 样本名称: 无名称信息 + + 样本大小: 80384 字节 + + 样本MD5 : 7BF49CD89EAEF7FBAD
使用MD5匹配病毒
daineng的专栏
03-02 4037
使用MD5匹配病毒的技术可能不值得一提,但就目前来看这是种简单有效又值得信赖的方法,简单不用说了;有效是因为现在大部分的病毒或者恶意程序都不是感染型的,发放出去后不会变化或者变化有限;值得信赖是因为MD5误报正常文件的几率可以忽略不计。虽然MD5比较简单,但用它来作为病毒引擎的主要方式还有额外的工作,做好它并不容易。首先要从各个信任的源头那里获得病毒MD5,有病毒样本最好,没有关系也不大
Android 恶意样本 md5,恶意样本分析手册——常用方法篇
weixin_33187773的博客
05-28 849
一、文件识别常见的可执行程序格式有PE,ELF,MACH-O等,不同的格式有不同的标志信息(参考理论篇),知道了目标文件的格式后才能确定对应的分析方法和分析工具。可以使用16进制解析器载入可执行程序,然后查看是哪种类型的文件。图:PE文件格式图:ELF文件格式一般二进制文件的前四个字节为文件格式的magic,可以通过从网络搜索获得文件的信息,或者使用相关的工具(PEID,file)等进行自动识别。...
恶意代码分析模板
热门推荐
hupoling的专栏
12-28 9万+
基本信息   报告名称:                                                       作者:                                                               报告更新日期:                                               样本发现日期:
[网络安全自学篇] 六十八.WannaCry勒索病毒复现及分析(二)MS17-010利用及病毒解析
杨秀璋的专栏
04-20 1万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了通过Python利用永恒之蓝漏洞加载WannaCry勒索病毒,并实现对Win7文件加密的过程,但过程较为复杂,为什么不直接利用永恒之蓝呢?所以,这篇文章将直接分享MSF利用MS17-010漏洞进行反弹Shell,再上传勒索病毒进行实验复现,并详细讲解WannaCry勒索病毒的原理。基础性文章,希望对您有所帮助。
[Python从零到壹] 十七.可视化分析之Matplotlib、Pandas、Echarts入门万字详解
杨秀璋的专栏
08-24 3万+
前一篇文章讲述了数据预处理、Jieba分词和文本聚类知识,这篇文章主要介绍Matplotlib和Pandas扩展包绘图的基础用法,同时引入Echarts技术,该技术主要应用于网站可视化展示中。本文内容以实例为主,给读者最直观的图形感受。两万字基础文章,希望对您有所帮助。
[网络安全自学篇] 七十三.WannaCry勒索病毒复现及分析(四)蠕虫传播机制全网源码详细解读
杨秀璋的专栏
05-05 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了逆向分析OllyDbg动态调试工具的基本用法,包括界面介绍、常用快捷键和TraceMe案例分析。这篇文章将继续详细讲解WannaCry蠕虫的传播机制,带领大家详细阅读源代码,分享WannaCry勒索病毒是如何传播感染的。作者分析该病毒一个月,一方面觉得自己技术菜,另一方面深知系统安全需要坚持,继续加油。希望文章对您有所帮助~
骷髅头病毒分析报告
12-25
原创利用逆向分析工具IDAPro进行分析骷髅头病毒感染迹象以及特征码
文件卫士病毒检测报告(virscan.org)
9.歌工作室
03-01 1544
文件卫士病毒检测报告(virscan.org) virscan.org:http://r.virscan.org/language/zh-cn/report/ec577c45a88ccddd8eaffb9274991a9f VirSCAN.org Scanned Report : 扫描结果:2%的杀软(1/49)报告发现病毒 时间: 2019-04-20 17:24:03...
Python+Selenium实现爬取anyrun样本md5
yan_star的博客
01-19 647
背景: 之前遇到一个需求,需要看下anyrun一年的新样本。我们库里样本很多,只要有md5,基本许多都可以下到。所以就爬一下anyrun的吧!个人反爬虫技术有限,没想到更好的方法去爬anyrun,用了相对笨的方法Selenium大法。简单分享下,希望大家有所学习! 代码如下 : import time import re import sys from selenium import webdriver from selenium.webdriver.support.wait import WebD
网络安全学习第4篇-使用特征码和MD5对勒索病毒进行专杀,并对加密文件进行解密
一清道长的个人博客
04-03 2670
请使用IDA或其它分析工具分析本次的样本文件,写一个简要的行为分析报告,并编写一个针对于这次样本的专杀(恢复)程序。 要求: 1、样本分析只要说明主要行为即可。提示:sub_401320主要用于文件加密操作;sub_401470主要用于查找docx文件;sub_4017D0主要用于创建自删除脚本文件;sub_4019B0主要用于创建readme说明文件。 2、专杀工具需要能够识别本次的样本文...
病毒分析五:勒索病毒分析
liuhaidon1992的博客
12-11 758
一、样本简介 样本是52论坛找到的 样本链接: https://pan.baidu.com/s/1yRlNwHKSa9F-nHhUiO0BCA 提取码: p498 二、现象描述 点开样本后,会弹出一个文本,里面有一串数字,这串数字是加密和解密的关键。然后电脑CPU会飙升到100%,是因为病毒创建了50个加密线程加密文本。 三、样本信息 MD5值:abca8f0299f6b5911143694...
MD5设计原理
Diudiu_2的博客
09-10 685
Hash函数 Hash函数与数据完整性 密码学上的Hash函数可为数据完整性提供保障。Hash 函数通常用来构造数据的短“指纹”: . - " 旦数据改变,指纹就不再正确。即使数据被存储在不安全的地方,通过重新计算数据的指纹并验证指纹是否改变,就能够检测数据的完整性。 首先给出带密钥的Hash族的定义。 定义4.1 - 一个Hash族是满足下列条件的四元组(X,Y, K, H): 1. x是所有可...
Android简单病毒分析(样本名:百变气泡)
u011337769的博客
08-28 1455
病毒分析 - 百变气泡 1.样本信息 病毒名称:126b25e8e9ea5c7cfd3eddc4c500d69bb9cbd821 所属家族:无 MD5值:e7c653a4195cd36f27933b4ef1fe8328 SHA1值:126b25e8e9ea5c7cfd3eddc4c500d69bb9cbd821 CRC32:5f1096a3 病毒行为:a)程序启动后的主界面如
[病毒分析]WannaCry病毒分析(永恒之蓝)
anhui8496的博客
05-28 2062
1.样本概况 1.1样本信息 病毒名称:Trojan-Ransom.Win32.Wanna.m 所属家族:木马/勒索/蠕虫 MD5: DB349B97C37D22F5EA1D1841E3C89EB4 SHA1: E889544AFF85FFAF8B0D0DA705105DEE7C97FE26 CRC32: 9FBB1227 1.2测试环境及工具 ...
三菱MELSEC-F系列PLC:FX5U的高性能与集成优势
“三菱PLC FX5U样本是关于三菱最新推出的微型可编程控制器MELSEC iQ-F系列的样本手册,特别关注FX5U型号。手册介绍了该系列PLC的高性能、驱动产品连接、软件环境改进等特性,适用于搬运、食品饮料、包装、空调等领域...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值