3601劫持病毒分析报告

最新推荐文章于 2022-10-28 20:21:32 发布
最新推荐文章于 2022-10-28 20:21:32 发布
阅读量635 收藏
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42167033/article/details/106267246
版权
本文详细分析了3601劫持病毒的行为,包括其加壳、自我复制、注册表操作、网络连接及恶意DLL注入等恶意行为。病毒通过弱口令传播,感染局域网主机,还可能从网络下载更多恶意代码。查杀方案包括识别关键字符串、手动清理进程和服务、删除相关文件和注册表项。
摘要由CSDN通过智能技术生成

3601劫持病毒分析报告

一、样本相关信息
1.分析环境与分析工具

​ 分析环境:Windows 7 专业版 32 位

​ 分析工具:PEID、OllyDbg、IDA Pro、火绒剑

#####2.分析目标

​ 分析病毒具体的行为,搞清楚病毒的实现原理,给出合理的方式查杀病毒。

3.病毒样本的基本信息

​ 利用在线云沙箱可以查出病毒基本信息,如下图所示。
在这里插入图片描述

4.病毒的主要恶意行为

​ 先利用云沙箱获取基本运行情况,如下图所示。

在这里插入图片描述

​ 使用火绒剑进行监控,发现病毒第一个恶意行为,进行自我复制和删除,并且释放了lpk.dll文件。

在这里插入图片描述
​ 如上图,病毒第二个恶意行为,释放了hra33.dll,RCX632E.tmp文件。

​ 第三个恶意行为,创建了cmd、rar、find进程。

在这里插入图片描述

​ 其次,病毒对注册表进行了操作,并且有网络连接。

在这里插入图片描述
在这里插入图片描述

二、病毒行为分析
2.1脱壳

​ 经查壳工具PEID检查,发现该病毒加了UPX壳。根据ESP定律进行脱壳处理。

在这里插入图片描述

在这里插入图片描述

2.3 对病毒代码进行分析

​ 主程序首先通过查看注册表键值来确定服务是否创建,若服务未创建则创建并启动服务;若服务已经创建,则对自己进行复制,并且修改相关服务,最后删除自己。并且病毒释放了一个hra33.dll文件。

最低0.47元/天 解锁文章
qq_42167033
关注
手动查杀浏览器劫持病毒
u012313945的博客
07-28 2737
文章目录察觉到病毒病毒行为分析病毒查杀病毒分析总结 察觉到病毒 很早前入手了个平板电脑,型号是台电 Tbook 16 Pro (E5C9),没装杀毒软件,使用了半年没察觉有什么问题。结果最近发现,使用必应搜索,输入关键词后点击搜索会跳转到百度搜索,如下图所示,并且地址栏中很明显有推广链接。后来发现,在平板上任意浏览器中输入baidu[dot]com会自动跳转到www[dot]baidu[dot]c...
病毒分析报告模板
04-05
病毒分析报告模板,让你的病毒分析跟明了,更规范
3601病毒分析
datouyu0824的博客
03-20 1374
1.样本概况 1.1 样本信息 病毒名称:3601 所属家族:Zard MD5值:B5752252B34A8AF470DB1830CC48504D SHA1值:AEC38ADD0AAC1BC59BFAAF1E43DBDAB10E13DB18 CRC32:4EDB317F 病毒行为概述: - 文件操作行为: 0. 删除病毒进程文件,使用随机文件名创建新的病毒文件并启动进程 1. 遍历目录生成lpk.dll文件,覆盖原dll文件,同时还创建其他文件 - 系统操作行为: ...
3601lpk.dll劫持病毒分析
ZK_1874的博客
10-28 1851
3601lpk.dll劫持病毒分析
一个感染型木马病毒分析(二)
Fly20141201. 的专栏
08-12 4410
作者:龙飞雪 0x1序言 前面已经对感染型木马病毒resvr.exe的病毒行为进行了具体的分析见一个感染型木马病毒分析(一),但是觉得还不够,不把这个感染型木马病毒的行为的亮点进行分析一下就有点遗憾了。下面就针对该感染型木马病毒的感染性、木马性以及被感染文件的恢复几个方面进行具体的分析和说明,直观感受一下病毒的感染性、木马性质。   0x2病毒木马性的分析---远程
南开大学复习资料-计算机病毒分析0001.docx
最新发布
12-16
计算机病毒分析 计算机病毒是一种恶意程序,可以损害计算机系统和数据的安全。计算机病毒分析是指通过分析计算机病毒的特征和行为来检测和消除计算机病毒的过程。 计算机病毒的定义和类型 计算机病毒是指编制或者...
针对APP应用劫持病毒出现.pdf
08-26
针对APP应用劫持病毒出现.pdf
乌克兰电力系统BlackEnergy病毒分析与防御.pdf
08-28
"乌克兰电力系统BlackEnergy病毒分析与防御" 本文档对乌克兰电力系统中的BlackEnergy病毒进行了深入分析和防御研究。BlackEnergy病毒是一种恶意软件,于2015年攻击了乌克兰电力系统,导致了大规模停电事件。作者...
3601lpk-病毒分析报告.docx
08-23
3601lpk-病毒分析报告.docx
查杀木马病毒lpk.dll的过程
01-09
我们时常受到网络病毒攻击。有时杀死软件查不出,或杀不掉。这里通过寻找和查杀木马病毒lpk.dll的过程,给我们提示一种简易的查杀方法
认识病毒的映象劫持技术
[智能天空教程区 Smart-sky]
06-23 756
映像劫持的定义 所谓的映像劫持(IFEO)就是Image File Execution Options,位于注册表的   HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Opt
“暗度陈仓”病毒分析报告
01-16 375
“明修栈道,暗度陈仓”,出自《史记·淮阴侯列传》,原指从正面迷惑敌人,用来掩盖自己的攻击路线,而从侧翼进行突然袭击。引申意:用明显的行动迷惑对方,使敌人不备的策略,也比喻暗中进行活动。用假象迷惑对方以达到某种目的。这是声东击西、出奇制胜的谋略。近期,暗影实验室监测到与“暗度陈仓”的典故极其类似的一个病毒,样本名为“换机精灵”,伪装成正常样本进而欺骗用户,并在用户不知情的情况下执行各项恶意操作。 一、“暗度陈仓”病毒概述 1.1病毒介绍 换机精灵软件从表面看为一款为用户提供备份手机信息的应用软件,但在实
LPK病毒分析报告
Hanxinyi930702的博客
05-26 391
文件: lpk.dll 大小: 44032 字节 MD5: 78311085E5CD3F86A7243D628BFACF95 SHA1: BA7C78590F1E940F51AFD2945674D904A814F976 CRC32: F223E90D LPK.dl主要行为: pk.dll获取了系统正常的lpk.dll文件的导出函数地址,并伪装成正常的lpk文件,当伪装的LPK...
映像劫持病毒有什么现象及清除步骤
wenbingyeyu的专栏
11-24 1839
现象一媒体朋友的笔记本染毒,杀毒软件起不来。开机就弹出若干个窗口,总也关不掉,直到系统内存耗尽死机,安全模式也是同样的现象。无奈之下,尝试重装系统,不过,因为不少人都知道的原因,她只是格式化了C分区,系统重装后,访问其它分区后,再次出现重装前的中毒症状。从上述现象至少得到2个信息:1、病毒会通过自动播放传播;2、病毒可能利用映像劫持。故障现象检查故障机,重启时,很自然的想到启动到带
实验七——DLL劫持病毒的分析和清除
Onlyone_1314的博客
09-26 8012
【实验名称】 DLL劫持病毒的分析和清除 【实验目的】 掌握DLL劫持的原理 了解DLL劫持攻击的防御办法 【实验原理】 Windows2000之后的系统,将强制PE加载器首先在应用程序所在目录中搜索要加载的DLL,如果搜索不到才搜索其他目录。PE加载搜索DLL路径顺序由注册表中的键值决定,注册表路径如下:HKLM\System\CurrentControlSet\Control\Session Manager,中的SafeDllSearchMode键。 SafeDllSearchMode=1
浏览器劫持病毒)事件处置
Gjqhs的博客
12-15 2655
实验目的 掌握windows下驱动级病毒处理过程 实验环境 一台windows server 2012 r2 ,浏览器被首页劫持。无法更改。 实验原理 通过驱动级工具,发现驱动级病毒。清除病毒,恢复系统。 实验步骤 一、观察劫持现象 1、打开桌面上的chrome浏览器 发现浏览器首页域名为hp1.dhwz444.top 然后快速的会跳转到 hao123.com 2、打开IE浏览器 点击开始 点击IE浏览器 发现首页同样被劫持 二、尝试手动恢复.
3601-lpk.dll劫持病毒分析
w_g3366的博客
09-07 1546
文章目录3601-lpk.dll劫持病毒分析1.样本概况1.1 样本信息1.2 测试环境及工具1.3 分析目标1.4 样本行为概述2.具体行为分析2.1 主要行为2.2 提取恶意代码2.3 恶意代码分析3.解决方案3.1 提取病毒的特征,利用杀毒软件查杀3.2 手工查杀步骤 3601-lpk.dll劫持病毒分析 1.样本概况 1.1 样本信息 病毒名称:3601.exe 所属家族:木马病毒 大小:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值