病毒分析一:恶意下载软件

最新推荐文章于 2024-04-03 07:57:25 发布
最新推荐文章于 2024-04-03 07:57:25 发布
阅读量6.8k 收藏 5
点赞数 2
分类专栏: 病毒分析 文章标签: 病毒分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liuhaidon1992/article/details/102562738
版权

一、样本简介

样本是在卡饭论坛找到的,原网址:https://bbs.kafan.cn/thread-2159857-1-1.html,样本下载链接: 链接: https://pan.baidu.com/s/1Jn-rhDOQRC-Lpe9lhCZF_Q 提取码: nb9e 
样本ESET检测为Adware.Qjwmonkey.H应用的变种。此类型的特洛伊木马会将代码注入到Web浏览器应用程序Internet Explorer以显示广告软件或下载其他威胁。

二、现象描述
此样本表面上是一个解压软件的安装程序,但实际安装完解压软件后,会在后台创建多个其他软件的安装进程。

三、样本信息

MD5值:4d68faa3681e719b46349f463280c393
SHA1值:76bef9357eb94d05a77023c972c48fbea03dbd45 
CRC327B071A67

四、测试环境及工具

环境:Windows 7 64 
工具:火绒剑,ODIDAexeinfope

五、样本行为分析

1)从x.93ne.com下载大量数据


这些数据包含恶意安装软件的ID,Name

2) 下载要安装的其他软件的图片资源

3)遍历已安装软件的注册表,进行过滤
"SOFTWARE\\WOW6432Node\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\"和

"SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\"

筛选完之后发消息给获取要下载的软件的具体信息

 4) 下载解压软件的界面资源

5) 至此,所有资源都准备完毕,当用户点击同意安装解压软件之后。会开始启动下载和安装其他软件

根据下载的文件创建进程,安装程序

 

liuhaidon1992
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
恶意软件分析——Tesla勒索病毒分析
摔不死的笨鸟的博客
09-06 1044
目录 概述… 2 样本信息… 2 样本行为… 2 流程图… 4 技术细节详细分析… 5 静态分析… 5 线程一:结束指定进程… 8 线程二:删除卷影副本… 8 线程三:网络连接服务器… 9 线程四:遍历文件并实施加密… 9 动态分析… 11 样本溯源… 12(略) 查杀·防御技术方案… 13 总结… 14 FileName FileType FileSize MD5 tfukrc....
恶意下载病毒
A soul tortured by desire
03-16 958
今天不慎中了招! 下载并安装了某个exe应用程序后,电脑特别卡,系统自动下载并安装了大量软件!而且还不停的弹广告!现象如下图; 由于这些自动安装软件占用了大量的带宽及cpu、内存资源,所以电脑卡的不行,进行了一系列操作后才恢复正常,现在总结一下! 处理完后再次找到这个安装包,才发现这个exe的属性中显示为“智能下载器” 这个就是罪魁...
Malware-Sample-Sources:恶意软件样本来源
05-23
恶意软件样本源-恶意软件样本库的集合 这是一个旨在使恶意软件分析人员更容易找到病毒样本进行分析,研究,逆向工程或审查的项目。 恶意软件很难发现,更不用说对所有可能的地方都有深刻的了解。这是一个活跃的存储库,我们尝试在其中记录尽可能多的资源,以使您的工作更轻松。 在处理这些文件时,请务必格外小心,因为众所周知,这些文件是由其原始作者故意设计和开发的。 我们坚信透明性,并帮助好人拥有正确的访问权限和工具,他们可以将这些恶意文件撕裂。 我们欢迎所有要求和贡献! 请记住,这些都是实时存在的危险恶意软件! 除非您完全确定自己在做什么,否则请勿运行它们! 它们仅用于教育目的。 !!! 我们强烈建议您在原始的沙盒环境或无法访问Internet的专用虚拟机中查看这些文件。 如果您不小心,将会感染危险的恶意软件以感染自己或他人!!! 无需注册 以下存储库是最容易上手的,因为它们不需要注册或特殊访问。
样本:恶意软件样本
02-22
样本:恶意软件样本
恶意软件分析与反病毒技术
03-20
恶意软件分析与反病毒技术!!!!!!!!!!
多线程下载恶意样本
Keo的博客
05-07 657
最近在做威胁情报库,写了个脚本搜集恶意样本,需要在malshare上注册账号(免费)。 virustotal虽然是高级会员,但是用不了feed api,可恶啊,不知道为什么,有没有懂的老哥 # 05/07/2021 Modified by Keo <Thisiskkya@gmail.com> # Download Malware Samples daily with muti threads # Thanks for Jun Xie <jxie2004@gmail.com> for
malware-samples:恶意软件样本
04-02
恶意软件样本 分析样品清单
Practice-Malware:恶意软件分析实践
04-10
分析恶意软件的过程分为几个关键步骤: 1. **收集样本**:这涉及获取可疑文件,可能是通过邮件附件、不明链接或其他来源下载的文件。 2. **静态分析**:不执行恶意软件的情况下,分析其二进制代码和元数据。这包括...
malwarecookbook:恶意软件分析师的食谱资料
04-28
这份资料的核心在于提供了一系列Python编程的代码示例,旨在帮助分析师理解和应对各种恶意软件,提高他们在安全分析和反病毒领域的技能。 在当前的数字化社会中,恶意软件已经成为网络安全的主要威胁之一。它们可以...
macc:恶意软件分析速成课程阿拉伯语
05-24
8. **法律和伦理**:分析恶意软件可能涉及法律和道德问题,课程会讨论这些议题,确保分析活动在合法和合规的框架内进行。 9. **持续学习与更新**:恶意软件技术不断演变,因此,了解如何跟踪最新的威胁并适应新工具...
malware-samples:恶意软件样本,分析练习和其他有趣的资源
03-29
恶意软件样本 该存储库旨在提供对各种恶意文件和其他工件的访问。 请记住,这些示例中的大多数将不会被存档或受密码保护。 对于那些密码,请查阅其他自述文件,但是通常会使用“感染”的标准密码。 所有样本均位于受密码保护的ZIP归档文件中,其密码为:受感染 恶意软件分析练习 除了提供样本中的工件外,我还将定期发布恶意软件分析练习。 这些练习将涵盖广泛的恶意软件分析主题,并附带详细的解决方案和演练。 2021年 2月: 2020年 12月: 样本摘要 2021-03-16: : : 2021-01-30: 2021-01-30: 2021-01-23: 2021-01-15: 2021-01-15: 2021-01-09: 2021-01-07: 2021-01-02: 2020-12-26: 2020 : 2020-12-15: 2020-12-15: 2020-12
免费恶意样本资源
debugeeker的专栏
10-13 3274
恶意软件研究员经常要寻找恶意样本来获取威胁情报和开发防御方案。 下面是一些免费的恶意样本资源站,研究的人请下载到虚拟机上玩,后果自负! ANY.RUN https://app.any.run/submissions/ 每天更新,需要注册 Contagio Malware Dump http://contagiodump.blogspot.com/ 每天更新,下载后解压需要发邮件给博主获取密码 DAS MALWERK https://dasmalwerk.eu/ 更新频率不知,随便下载
一个恶意下载器的逆向分析
輚至消亡
04-27 976
如果这里调用MoveFileEx失败改名失败则会进入无限循环不断改名, 直到改名成功为止, 改名成功后会调用ShellExecute将该进程打开,并以隐藏方式执行。并且其还使用了LoadLibrary和GetProcAddress这两个API, 很可能有动态获取API的函数地址来达到规避杀软查杀的目的。Die查壳, 发现没有加壳, 是使用VC++编写的64位程序。查看其PE节区发现其包含了资源节, 内部可能藏有隐藏模块。查看一下这个程序导入的dll中发现了如下特别的地方。发现改名失败, 因为不存在该文件。
无危害有好玩的电脑病毒下载-01期
热门推荐
ecgsqybk的博客
08-24 1万+
GitHub下载(我的GitHub:2070346615-yzec7)
进程异常行为-访问恶意下载源 解决方案_【网警提醒】从PC到手机,恶意软件从未停止...
weixin_39580564的博客
11-24 513
用户通过电脑/手机浏览一些恶意网站或从不安全的站点下载游戏及其它程序时往往会连合恶意程序一并带入自己的终端,而用户本人对此丝毫不知情。直到有恶意广告不断弹出或色情网站自动出现时用户才有可能发觉电脑/手机已“中毒”(存在恶意软件)01什么是恶意软件恶意软件是一个集合名词,具体是指故意在计算机系统上执行恶意任务的病毒、蠕虫和特洛伊木马的程序,这些程序通过破坏软件进程来实施控制。腾讯移动安全实验室曾发...
新型sLoad下载器令恶意攻击活动更加复杂多变
mozhe_的博客
10-26 289
一种名为sLoad的新型PowerShell下载器正在进行测试,它采用了令人印象深刻的侦察战术和地理围栏技术。 SLoad于2018年5月首次被发现,它通常会传播Ramnit银行木马(但也被观察到抓取Gootkit、DarkVNC、Ursnif和PsiXBot)。它需要在交付有效载荷之前了解目标。 根据Proofpoint分析,sload所在的恶意软件收集有关受感染系统的信息,包括正在运行的进...
盘盘那些牛逼的勒索病毒(附样本)
Peter_FHC的博客
01-15 4048
盘点那些比较牛的勒索病毒
恶意下载文件
最新发布
m0_62207482的博客
04-03 349
说人话就是,浏览器并不认得这是什么类型,也不知道应该如何展示,只知道这是一种二进制文件,因此遇到content-type为application/octet-stream的文件时,浏览器会直接把它下载下来。意思是未知的应用程序文件,浏览器一般不会自动执行或询问执行。在某些下载文件的场景中,服务端可能会返回文件流,并在返回头中带上Content-Type:application/octet-stream,告知浏览器这是一个字节流,浏览器处理字节流的默认方式就是下载
HCSCP1206 反病毒技术 ISSUE 3.0.pptx
10-06
HCSCP1206 反病毒技术 ISSUE 3.0

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值