病毒分析报告-样本MD5:7BF49CD89EAEF7FBAD1151D2B1BD9126

最新推荐文章于 2023-11-09 16:15:47 发布
最新推荐文章于 2023-11-09 16:15:47 发布
阅读量2.7k 收藏
点赞数
分类专栏: 样本分析 文章标签: 样本分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dalerkd/article/details/46919377
版权

0.如何查杀及样本评点请看文末

+——————————————————–+
+ 获取日期: 2015-07-13 +
+ 样本来源: 精锐 +
+——————————————————–+

1.特征

+——————————————————–+
+ 样本编号: 07 +
+ 样本名称: 无名称信息 +
+ 样本大小: 80384 字节 +
+ 样本MD5 : 7BF49CD89EAEF7FBAD1151D2B1BD9126+
+—SHA256: D3EB9AA5753BE2925E4CEA053E7D944D8CB2C3C758B0943756DA577493EF0D67+
+——————————————————–+

2.外部特征

//Logo,属性,证书,etc.
图标:无
链接时间:2015.07.11/01:51:26
源文件名:gg.exe
产品名称:gg.exe
Assembly Version:0.0.0.0
证书:无
编译工具等信息:
Babel v7.0.0.NET Obfuscator
Borland Delphi 2006/2007 - www.borland.com [ * Internet Behavior on ->> wsock32.dll

3.行为

0 . 运行环境
xp

1 . 进程

创建新进程:
C:\Documents and Settings\Administrator\Local Settings\Temp\server.exe(自身的拷贝)
创建新线程:
加载了mscoree.dll
加载了mscorwks.dll

创建新进程
C:\WINDOWS\system32\netsh.exe(微软网络配置服务)

2 . 文件行为

释放如下文件:

C:\Documents and Settings\Administrator\Local Settings\Temp\server.exe(自身的拷贝)
C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\b89abee708c08a62a4f92ccac672ebca.exe(自身的拷贝)

删除如下文件:

感染如下文件:

3 . 网络行为

3.1 解析域名

samo22.no-ip.org

3.2 数据交互

4 . 行为

4.1 系统服务

4.2 注册表

.1
键值
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders

AppData
数据
C:\Documents and Settings\Administrator\Application Data

.2
键值
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders

Cache
数据
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files

.3
键值
HKU\S-1-5-21-2025429265-1644491937-1177238915-500
值: di
数据:!

.4
键值
HKCU\Environment
值:SEE_MASK_NOZONECHECKS
数据:1

.5
键值
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
值:b89abee708c08a62a4f92ccac672ebca
数据:”C:\Documents and Settings\Administrator\Local Settings\Temp\server.exe”..

.6
键值
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
值:b89abee708c08a62a4f92ccac672ebca
数据:”C:\Documents and Settings\Administrator\Local Settings\Temp\server.exe”..

.7
键值
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
值:Startup
数据:C:\Documents and Settings\Administrator\「开始」菜单\程序\启动

.8创建
键值
HKCU\Software\b89abee708c08a62a4f92ccac672ebca
值:N/A
数据:N/A

.8
键值
HKCU\Software\b89abee708c08a62a4f92ccac672ebca
值:[kl]
数据:N/A

样本配置netsh导致对注册表的改变:
net1
net2

4.3内存操作
netsh firewall add allowedprogram “C:\Documents and Settings\Administrator\Local Settings\Temp\server.exe” “server.exe” ENABLE

5 . 自我保护

无.

6 . 总结

该样本是恶意软件.

分析感言

该样本被加壳.且依靠.net运行库运行.对自身隐蔽改名,运行无窗口无提示.添加启动项.将自身添加到防火墙白名单,再通过查询互联网DNS转IP服务期望与远程主机连接.

查杀密招

直接用任务管理器结束掉此程序的主程序.找到对应启动项删除即可.

dalerkd
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
病毒分析报告模板
04-05
病毒分析报告模板,让你的病毒分析跟明了,更规范
Android 开发从入门到实战
death_of_ye的博客
02-18 1394
本节介绍Android开发的历史沿革,包括Android的发展历程和Android Studio的发展历程两个方面。数据定义语言全称Data Definition Language,简称DDL,它描述了怎样变更数据实体的框架结构。就SQLite而言,DDL语言主要包括3种操作:创建表格、删除表格、修改表结构,分别说明如下。创建表格表格的创建动作由create命令完成,格式为“CREATE TABLE IF NOT EXISTS 表格名称(以逗号分隔的各字段定义);
全角字符unicode码对应表
编程开发资料库
06-19 5067
Uni. GB   Uni. GB   Uni. GB   Uni. GB   Uni. GB   00A4 A1E8 ¤ 00A7 A1EC § 00A8 A1A7 ¨ 00B0 A1E3 ° 00B1 A1C0 ± 00B7 A1A4 · 00D7 A1C1 × 00E0 A8A4 à 00E1 A8A2 á 00E8 A...
字体编辑用中日韩汉字Unicode编码表
热门推荐
过河卒子
08-01 18万+
一 丁 丂 七 丄 丅 丆 万 丈 三 上 下 丌 不 与 丏 4E00 4E01 4E02 4E03 4E04 4E05 4E06 4E07 4E08 4E09 4E0A 4E0B 4E0C 4E0D 4E0E 4E0F 丐 丑 丒 专 且 丕 世 丗 丘 丙 业 丛 东 丝 丞 丟
病毒学习部分知识点记录
qq_44122254的博客
02-21 623
分析得出是Neshta病毒为感染式病毒,该病毒会在系统%SystemRoot%目录下释放**svchost.com**文件,并通过添加注册表的方式确保每个exe文件执行的时候都会先执行这个文件。该病毒还会收集系统信息发送到远程服务器上,如当前安装的软件列表,当前运行的软件列表,以及SMTP邮件账号等
一个感染型木马病毒分析(一)
Fly20141201. 的专栏
08-04 6439
一、 样本信息 样本名称:resvr.exe(病毒母体) 样本大小:70144 字节 病毒名称:Trojan.Win32.Crypmodadv.a 样本MD5:5E63F3294520B7C07EB4DA38A2BEA301 样本SHA1: B45BCE0FCE6A0C3BA88A1778FA66A576B7D50895 电脑中了该病毒的典型的特
勒索病毒分析报告
qq_43572067的博客
11-01 3673
样本信息 病毒名称:勒索病毒 所属家族:恶意勒索 MD5值:DBD5BEDE15DE51F6E5718B2CA470FC3F SHA1值:863F5956863D793298D92610377B705F85FA42B5 CRC32:1386DD7A 病毒行为: 将自身拷贝到C:\Users\15pb-win7\Documents\,并将其设置注册表启动项。 设置为cmd命令行方式启动自身 运行过程...
病毒分析报告-样本MD5 : 1576C10BD588D5EC4F22D43ED83FD2D0
KD的疯狂实验室
07-14 2398
0如何查杀及样本评点请看文末+——————————————————–+ + 获取日期: 2015-07-13 + + 样本来源: 精锐 + +——————————————————–+1.特征+——————————————————–+ + 样本编号: 04 + + 样本名称: xxx.exe + + 样本大小: 675840 字节 + + 样本MD5 : 1576C10BD588D5EC
依据病毒MD5排查病毒文件--python、pyinstaller、exe
最新发布
zhangyuehong66的博客
11-09 653
先进行python的安装,然后安装python库pyinstaller。后面进行py脚本的编写,最后将py脚本转为exe格式的应用程序,方便在windows终端上运行查找病毒文件。病毒文件的md5放在md5v.ini文件中。
SHSH_6.1.2
01-25
具体内容↓ 自己复制 ...<krnl>4449434540000000080000002CE51CE9F...B1F51FF7AE592DD23C6FC1FEE58D468EE4767A0555384DDCBB2E280F746794C1ECF226C582215185FA1844BA09C5E4882B9A0F7BA37D7FDEEB36E15E8EE5754B...
微信小程序如何访问公众号文章
01-03
view src=https://mp.weixin.qq.com/s?__biz=MzI2ODUxMzg4Nw==&mid=2247485016&idx=1&sn=e5f60600ea30f669264ddcf5db4fb080&chksm=eaef2168dd98a87ead60eed0f24e799c1befbfe95e341231216af72315c33a56839f92e69ef9
使用MD5匹配病毒
daineng的专栏
03-02 3795
使用MD5匹配病毒的技术可能不值得一提,但就目前来看这是种简单有效又值得信赖的方法,简单不用说了;有效是因为现在大部分的病毒或者恶意程序都不是感染型的,发放出去后不会变化或者变化有限;值得信赖是因为MD5误报正常文件的几率可以忽略不计。虽然MD5比较简单,但用它来作为病毒引擎的主要方式还有额外的工作,做好它并不容易。首先要从各个信任的源头那里获得病毒MD5,有病毒样本最好,没有关系也不大
病毒分析报告-熊猫烧香
weixin_30316097的博客
05-30 784
分析报告 样本名 Worm.Win32.Fujack.p 时间 2017-5-27 平台 Windows 10 病毒分析报告 目录 1.样本概况3 1.1 样本信息...
Android病毒样本分析(4)
ireader135的博客
03-25 4116
1.基本信息 病毒名称: SD-Booster.apk 文件名称: SD-booster 文件MD5: 50836808A5FE7FEBB6CE8B2109D6C93A 文件包名: de.mehrmannd.sdbooster 危害属性: 代码捆绑、软件静默安装   2.基本行为 这个样本通过捆绑软件SD-Booster来达到感染的目的,在安装运行被感染的SD-Booste
[病毒分析]WannaCry病毒分析(永恒之蓝)
anhui8496的博客
05-28 1982
1.样本概况 1.1样本信息 病毒名称:Trojan-Ransom.Win32.Wanna.m 所属家族:木马/勒索/蠕虫 MD5: DB349B97C37D22F5EA1D1841E3C89EB4 SHA1: E889544AFF85FFAF8B0D0DA705105DEE7C97FE26 CRC32: 9FBB1227 1.2测试环境及工具 ...
某后门病毒详细分析报告(1)——适合新手
weixin_43742894的博客
04-11 2293
0x00样本信息 样本名称:未知 样本家族:NITOL 样本类型:样本类型:远控后门木马 创建时间:星期二 11 十月 2016, 09:49:04 文件大小:21.00 KB (21504 bytes) MD5: 5B8BC92296C2FA60FECC6316AD73F1E2 SHA-1: 44B95162F85B81E71E5F2E7ABBC904A6339CE0AA 病毒行为:病毒...
病毒分析五:勒索病毒分析
liuhaidon1992的博客
12-11 690
一、样本简介 样本是52论坛找到的 样本链接: https://pan.baidu.com/s/1yRlNwHKSa9F-nHhUiO0BCA 提取码: p498 二、现象描述 点开样本后,会弹出一个文本,里面有一串数字,这串数字是加密和解密的关键。然后电脑CPU会飙升到100%,是因为病毒创建了50个加密线程加密文本。 三、样本信息 MD5值:abca8f0299f6b5911143694...
Wannacry病毒分析
信息安全
08-09 1075
1.样本概况 1.1样本信息 病毒名称:WannaCry 所属家族:Wanna MD5值:84C82835A5D21BBCF75A61706D8AB549 SHA1值:5FF465AFAABCBF0150D1A3AB2C2E74F3A4426467 CRC32:4022FCAA 病毒行为: 这里描述病毒行为概况,包括清单文件中恶意组件、敏感的权限、加固情况等。 1.2测试环境...
Android简单病毒分析样本名:百变气泡)
u011337769的博客
08-28 1414
病毒分析 - 百变气泡 1.样本信息 病毒名称:126b25e8e9ea5c7cfd3eddc4c500d69bb9cbd821 所属家族:无 MD5值:e7c653a4195cd36f27933b4ef1fe8328 SHA1值:126b25e8e9ea5c7cfd3eddc4c500d69bb9cbd821 CRC32:5f1096a3 病毒行为:a)程序启动后的主界面如
C:\Users\Administrator>pip install C:\Users\Administrator\Downloads\torchvision-0.8.2+cpu-cp38-cp38-win_amd64.whl Looking in indexes: https://pypi.tuna.tsinghua.edu.cn/simple Processing c:\users\administrator\downloads\torchvision-0.8.2+cpu-cp38-cp38-win_amd64.whl Requirement already satisfied: numpy in e:\anaconda\lib\site-packages (from torchvision==0.8.2+cpu) (1.23.5) Requirement already satisfied: pillow>=4.1.1 in e:\anaconda\lib\site-packages (from torchvision==0.8.2+cpu) (8.2.0) Collecting torch==1.7.1 Downloading https://pypi.tuna.tsinghua.edu.cn/packages/b3/d1/a5eaef4fadbee9e31133b364a143aab54133fee5e6087e84c6a8f883b0f1/torch-1.7.1-cp38-cp38-win_amd64.whl (184.0 MB) |████████████████████████████████| 184.0 MB 122 kB/s Requirement already satisfied: typing-extensions in e:\anaconda\lib\site-packages (from torch==1.7.1->torchvision==0.8.2+cpu) (4.7.1) Installing collected packages: torch, torchvision Attempting uninstall: torch Found existing installation: torch 2.0.1 Uninstalling torch-2.0.1: Successfully uninstalled torch-2.0.1 ERROR: Could not install packages due to an OSError: [WinError 5] 拒绝访问。: 'E:\\anaconda\\Lib\\site-packages\\~~rch\\lib\\asmjit.dll' Consider using the `--user` option or check the permissions.
07-21
根据您提供的错误信息,看起来是由于...如果仍然遇到问题,请尝试运行命令提示符或终端窗口时禁用防病毒软件,有时防病毒软件可能会干扰安装过程。 希望这些方法能够帮助您解决问题。如果还有其他疑问,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值