1.
样本概况
病毒名称Lab12-01.exe,运行后有一个命令行窗口,使用Microsoft Visual C++ v6.0编写。
1.1样本信息
病毒名称:Lab12-01.exe
MD5值: DAFBEA2A91F86BF5E52EFA3BAC3F1B16
SHA1值:6A41735369934A212FC90DBD8C847C26270B3FBA
病毒行为:每隔1min弹出窗口。
1.2测试环境及工具
测试环境:winxp32位
测试工具:OD、IDA、pestudio
1.3分析字符串信息
Lab12-02.exe:
函数OpenProcess、CreateRemoteThread、WriteProcessMemory、VirtualAllocEx,怀疑进程注入。
Lab12-01.dll,调用了此dll,可以查看它的输出函数。
explorer.exe,可能对此进程进行了进程注入。
Lab12-01.dll:
Press OK to reboot,可能会使系统重启,然而并没有。
Practical Malware Analysis %d
2. 具体行为分析
2.1主要行为分析
每隔一段时间就弹出窗口。
进程Lab12-01.exe中用到了explorer.exe.
病毒名称Lab12-01.exe,运行后有一个命令行窗口,使用Microsoft Visual C++ v6.0编写。
1.1样本信息
病毒名称:Lab12-01.exe
MD5值: DAFBEA2A91F86BF5E52EFA3BAC3F1B16
SHA1值:6A41735369934A212FC90DBD8C847C26270B3FBA
病毒行为:每隔1min弹出窗口。
1.2测试环境及工具
测试环境:winxp32位
测试工具:OD、IDA、pestudio
1.3分析字符串信息
Lab12-02.exe:
函数OpenProcess、CreateRemoteThread、WriteProcessMemory、VirtualAllocEx,怀疑进程注入。
Lab12-01.dll,调用了此dll,可以查看它的输出函数。
explorer.exe,可能对此进程进行了进程注入。
Lab12-01.dll:
Press OK to reboot,可能会使系统重启,然而并没有。
Practical Malware Analysis %d
2. 具体行为分析
2.1主要行为分析
每隔一段时间就弹出窗口。
进程Lab12-01.exe中用到了explorer.exe.