骷髅病毒分析报告

最新推荐文章于 2024-05-25 08:15:24 发布
最新推荐文章于 2024-05-25 08:15:24 发布
阅读量498 收藏 2
点赞数
文章标签: python php
原文链接:https://my.oschina.net/u/3281747/blog/2480397
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

  1. 基本信息:        

    • 报告更新日期:2018-11-3

    • 样本类型:远控后门木马
    • 样本大小:21KB
    • 样本MD5:5B8BC92296C2FA60FECC6316AD73F1E2
    • 样本SHA1:44B95162F85B81E71E5F2E7ABBC904A6339CE0AA
    • 壳信息:UPX 0.89.6 - 1.02 / 1.05 - 2.90 -> Markus & Laszlo
    • 可能受到威胁的系统:Windows系列
  2. 简介:
    • 复制自身到系统目录并伪装成服务程序运行,并通过局域网共享感染其他主机,同时与远程服务器进行通信,将当前系统信息上次、获取指令以及更新程序
  3. 被感染系统及网络症状:
    • 系统中存在一个名称为“456876”,描述为“456468465”的自启动运行服务,服务的执行路径在系统目录,且名字为6字母组成
    • 同时系统会访问"www.gassxxx.com"和“aa.re67das.com
  4. 注册表变化:
    • HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services中创建一个名为“15654656”的子键项,具体键值如下
  5. 详细分析:
    • 主体功能:
    • 安装service功能:
    • service main主要功能:
      • 局域网传播部分:在copy_to_share2()中,用传进去的用户名和密码进行登录局域网目标主机共享目录,如果成功登录即复制当前文件到目标主机。
      • 远控部分:远控有三个线程在执行,他们的主要功能都大同小异,只是通信的目标地址不一样而已,以下是它们的主要程序。接下来针对控制码,进行相应的操作,具体操作如下。
      • 具体控制码分类见下图:
      • 解密部分:此处需要解密字符串才能得出目标网址,通过OD直接运行得到解密后的网址为“www.gassxxx.com:1988”。具体算法,后续分析...
    • 参考:https://www.52pojie.cn/forum.php?mod=viewthread&tid=593403&extra=page%3D1%26filter%3Dtypeid%26typeid%3D62&page=1  https://www.52pojie.cn/forum.php?mod=viewthread&tid=593454&page=1&extra=#pid15594667 https://s.threatbook.cn/report/file/5e15cb0b8a2329d1eb8d5c619f4ebf1c6fae3eab19cd18bf459f5aada1109cd5/?sign=history&env=win7_sp1_enx86_office2007

 

转载于:https://my.oschina.net/u/3281747/blog/2480397

weixin_33962923
关注
[网络安全自学篇] 七十.WannaCry勒索病毒复现及分析(三)蠕虫传播机制分析及IDA和OD逆向
杨秀璋的专栏
04-27 10000
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了宏病毒相关知识,包括宏病毒基础原理、防御措施、自发邮件及APT28样本分析。这篇文章作者将继续分析WannaCry勒索病毒,主要通过IDA和OD逆向分析蠕虫传播部分,详细讲解蠕虫是如何感染传播的。同时,由于作者技术真的菜,只能叙述自己摸索的过程,如果存在错误或不足之处,还望告知。希望这篇基础性文章对您有所帮助~
病毒样本分析小结
星焱宖
05-27 3191
这是笔者跟从具有多年反病毒引擎开发人员学习感悟的一些知识点,希望与大家一同交流
骷髅病毒分析报告
12-25
原创利用逆向分析工具IDAPro进行分析骷髅病毒感染迹象以及特征码
GhostPetya骷髅病毒分析
安全杂货铺
12-13 6519
这是主函数入口,看到如下红框,调用的函数的地址都是动态生成的,只能使用OD进行调试了。 一路单步步过,没做什么操作,一开始我调试时老是跑飞,不知道病毒心代码的入口在哪,最后,才发现下图红框EnumWindowStationsW函数处是入口。EnumWindowStationsW的作用是为窗口注册触发一个回调函数,这里的回调函数是0x4364AC。 ...
骷髅病毒分析
m0_64973256的博客
03-17 702
一、病毒信息病毒名称:骷髅病毒文件名称:d5dac2456fa6758480e946aa6a1597399bf0b9e7df1383c7ba568559b969a827文件格式:EXEx86文件类型(Magic):PE32 executable (GUI) Intel 80386, for MS Windows, UPX compressed文件大小:66.50KBSHA256:d5dac2456fa6758480e946aa6a1597399bf0b9e7df1383c7ba568559b969a827S
某后门病毒分析报告(4)——解密
weixin_43742894的博客
04-14 279
接上篇后门病毒分析报告,里面有相关的C2加密,本文进行解密。 动态解密: 有一说一,之前动态调试的经验比较少,但是对这个样本感觉就是个找解密后的网址,感觉应该问题应该不大。 但是在进行调试的时候,跳不到我想要的地方,发现是在服务的入口函数的地方,进不去,直接就执行结束了。 遂上网找解决方案,网上答之:需要用调试服务专门的方法来进行调试。 后来对照,进行解决,发现不好使,所以破罐破摔,直接硬跳,当然...
各种病毒分析
04-06
病毒分析和清除方法 本文将为您介绍四种不同的病毒:Dropper.Win32.Agent.bd、Trojan.DL.IeFrame、Worm.Win32.Agent 和 Worm.Viking.is,以及它们的清除方法。 一、Dropper.Win32.Agent.bd 病毒分析 Dropper.Win...
cve-2012-0158 APT病毒分析报告
qq_43572067的博客
11-01 651
样本信息 病毒名称:cve-2012-0158 APT病毒 所属家族:APT木马后门 MD5值:52E3DDB2349A26BB2F6AE66880A6130C SHA1值:52E3DDB2349A26BB2F6AE66880A6130C CRC32:7D21F812 病毒行为:感染主机,留下后门,允许远程操控 测试环境及工具 测试环境为虚拟机win7专业版 所使用到的工具:火绒剑,Pchunte...
一次病毒分析之旅
weixin_30362083的博客
01-04 96
0x00 前言 这个病毒应该是比较简单的,别人给我的样本,让我帮忙看看,看样子是很早的一个病毒,针对Windows XP系统的,行为分析很简单,但是想着不能就仅仅分析关键点,要不就把整个结构给逆向出来,弄了两天,搞的差不多了,简单的记录一下。 0x01 基本介绍 整个病毒是4个文件组成:27.exe,27.dll,27.sys和27.dlx。当然都是设置的为隐藏属性,双击exe以后,e...
病毒样本提取工具
07-31
病毒样本提取工具
骷髅头(原版)样本下载
最新发布
yuan123456id的博客
05-25 991
骷髅头(原版)样本下载
病毒分析报告-样本MD5 : 1576C10BD588D5EC4F22D43ED83FD2D0
KD的疯狂实验室
07-14 2440
0如何查杀及样本评点请看文末+——————————————————–+ + 获取日期: 2015-07-13 + + 样本来源: 精锐 + +——————————————————–+1.特征+——————————————————–+ + 样本编号: 04 + + 样本名称: xxx.exe + + 样本大小: 675840 字节 + + 样本MD5 : 1576C10BD588D5EC
CTB-LOCKER敲诈者病毒下载器脱壳之样本1
Fly20141201. 的专栏
05-06 2769
一、病毒简介 CTB-LOCKER敲诈者病毒最初是在国外被发现的,该病毒是有两部分组成分别是下载器部分和文档加密部分。病毒作者将下载器程序部分伪装成邮件附件发送给一些大公司的员工或者高管,当这些人下载了邮件里的附件,解压邮件附件运行如.src等格式的文件以后,电脑里很多格式的文件都会被加密,并且还会出现如下的提示画面(图1)以及桌面壁纸被修改(图2)所示。
Android病毒样本分析(1)
ireader135的博客
03-23 1997
1.基本信息 病毒名称: 1.apk 文件名称: 建设控件 文件MD5: 5B22058C7632AA3211987B1ABDD8E3D0 文件包名: tk.jianmo.study 数字签名:O=1_sign.apk   2.基本行为 程序启动后直接进入锁屏界面,开机自启动,按键无响应 3.详细分析 1.  通过改写onKeyDown方法,屏蔽
又在折腾那个手机骷髅病毒,真无聊
weixin_33968104的博客
03-25 1161
为网盾3.5技术交流会折腾了几天,今天下午产品终于公开。下午仍按奈不住对手机病毒的兴趣,找了几个原来做手机应用的同事扯蛋。以前一直以为塞班签名证书机制非常严格,一个试图获得高权限的手机应用程序不拿到塞班签名证书,是无法大面积在用户手机上安装的。而手机软件发烧友们,为尝试更多的使用乐趣,会去尝试自签名。去各手机论坛都能看到大量用户向论坛管理员申请自签名,这样的签名可以用来安装自己喜欢又因签名问题装不...
一个DDOS木马后门病毒的分析
liujiayu2的专栏
10-25 1581
http://blog.csdn.net/qq1084283172/article/details/49305827 一、样本信息 文件名称:803c617e665ff7e0318386e24df63038 文件大小:61KB 病毒名称:DDoS/Nitol.A.1562 MD5:803c617e665ff7e0318386e24df63038
Python骷髅草帽海贼旗
03-28
抱歉,我是AI语言模型,无法进行图形绘制。但您可以使用Python的图形库(如matplotlib、turtle等)进行绘制。以下是一个使用turtle库绘制骷髅草帽海贼旗的示例代码: ```python import turtle # 设置画布大小和背景颜色 turtle.setup(600, 400) turtle.bgcolor("#191970") # 绘制骷髅头 turtle.penup() turtle.goto(-100, 0) turtle.pendown() turtle.pensize(5) turtle.pencolor("white") turtle.fillcolor("white") turtle.begin_fill() turtle.circle(50) turtle.end_fill() turtle.penup() turtle.goto(-80, 30) turtle.pendown() turtle.circle(10) turtle.penup() turtle.goto(-60, 30) turtle.pendown() turtle.circle(10) turtle.penup() turtle.goto(-100, -10) turtle.pendown() turtle.right(45) turtle.forward(70) turtle.right(90) turtle.forward(70) turtle.penup() turtle.goto(-100, -10) turtle.pendown() turtle.left(90) turtle.forward(70) turtle.left(90) turtle.forward(70) # 绘制草帽 turtle.penup() turtle.goto(50, 0) turtle.pendown() turtle.pensize(5) turtle.pencolor("red") turtle.fillcolor("red") turtle.begin_fill() turtle.right(45) turtle.forward(100) turtle.right(90) turtle.forward(100) turtle.right(135) turtle.forward(140) turtle.right(45) turtle.forward(100) turtle.end_fill() turtle.penup() turtle.goto(0, 100) turtle.pendown() turtle.fillcolor("#FFE4B5") turtle.begin_fill() turtle.right(135) turtle.forward(70) turtle.right(90) turtle.forward(70) turtle.right(135) turtle.forward(100) turtle.right(135) turtle.forward(70) turtle.right(90) turtle.forward(70) turtle.right(135) turtle.forward(100) turtle.end_fill() # 绘制海贼旗 turtle.penup() turtle.goto(-200, -150) turtle.pendown() turtle.pensize(5) turtle.pencolor("white") turtle.fillcolor("white") turtle.begin_fill() turtle.forward(400) turtle.right(90) turtle.forward(100) turtle.right(90) turtle.forward(400) turtle.right(90) turtle.forward(100) turtle.end_fill() turtle.penup() turtle.goto(-200, -50) turtle.pendown() turtle.fillcolor("black") turtle.begin_fill() turtle.right(90) turtle.forward(100) turtle.right(90) turtle.forward(400) turtle.right(90) turtle.forward(100) turtle.end_fill() turtle.done() ``` 运行代码后,将会绘制出以下图形: ![骷髅草帽海贼旗](https://i.loli.net/2021/06/10/6R54JiPS2fX9m7a.png)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值