病毒分析
恶意样本的分析
Iam0x17
公众号:十七的安全日志
github:
https://github.com/Iam0x17
展开
-
powershell恶意脚本解混淆
文章目录前言分析总结前言现在许多病毒作者为了免杀,使用powershell脚本来执行恶意行为的病毒越来越多,这次分析的一个样本就是利用powershell混淆来隐藏嵌在其中的cs后门dll分析样本代码从图上可以很清晰的知道存放了一段base64数据,首先将base64数据解密,使用gzip解压,解压的数据进行执行想要解密,也很简单:IEX用于将字符串作为命令执行,当去掉IEX后,再文件尾加上| out-file decode.txt将IEX (New-Object IO.StreamRe原创 2020-11-11 23:02:37 · 1836 阅读 · 0 评论 -
实现一个远程宏模板执行恶意代码
文章目录原理实现创建宏模板创建加载远程宏文档文件运行总结原理word远程宏模板是利用word文档加载附加模板时向远程服务器发起请求而达成攻击的目的,请求并加载远程的恶意宏模板可用来执行恶意行为文档本身无恶意代码,内容中只有指向远程服务器地址的url,可以绕过安全软件的静态查杀实现创建宏模板在这里生成了两种宏模板,一种是cs生成的后门,一种是测试的弹框宏代码使用CS,生成宏代码创建一个docx文件,Alt+F11 启动vb编辑器,将代码粘贴进去,另存为dotm文件测试弹框的宏代码创建原创 2020-11-09 18:37:52 · 679 阅读 · 0 评论 -
Synares感染型简单分析
文章目录前言样本简单分析前言Synares是去年出现的感染型病毒,当时为了弄清病毒的感染逻辑,也大致分析了一下这个病毒,最近整理文档,又发现了之前写的简短的分析报告样本简单分析当运行非C:\ProgramData\Synaptics\Synaptics.exe目录的病毒文件,首先查找自己的资源是否存在,(资源名EXERESX是被感染的前的源文件,如果存在EXERESX资源说明这是一个已经被感染的文件),存在后释放到当前目录并隐藏,创建进程执行释放的源文件。样本会判断互斥体避免多开,获取一些资源原创 2020-10-24 12:12:27 · 21802 阅读 · 4 评论 -
upatre下载器变种分析
文章目录概述样本信息样本分析反虚拟沙盒代码混淆shellcode部分总结概述Upatre是于2013年被发现的Downloader,一直作为Dyre,GameOver Zeus等其他恶意家族的下载工具,许多诱饵都伪装成pdf文件来诱骗用户点击,Upatre的文件通常很小,功能单一,但用到的对抗手法值得分析样本信息样本是一个伪装为pdf文件的pe样本SHA1:377f6a84c823dc9f0fd615040b7abbc2454c0e03样本分析此样本到执行下载恶意软件之前主要分为两项操作:反原创 2020-09-22 12:12:26 · 577 阅读 · 0 评论 -
AgentTesla变种分析
文章目录样本信息样本分析总结样本信息SHA1:44ce804719e52c09717e7da84dcad01036a2f4a3样本是伪装成pdf文件的pe文件,来源any.run样本分析样本为.NET程序,经过多层解密,最后得到最后的窃密程序在第一层解密中,样本读取资源中资源名为SB的数据经过将&Z替换为A,字符串反转,base64解密,得到一个原始文件名为AndroidStudio.dll的样本AndroidStudio.dll是一个.NET的dll解密出的dll直接在内存原创 2020-08-30 19:09:00 · 1824 阅读 · 0 评论 -
SPreadoc感染型还原代码
文章目录简要说明自身还原过程代码分析代码还原简要说明前段时间遇见了一个被Spreadoc病毒感染的winrar安装包,样本运行后将自身还原然后执行其他恶意行为,由于样本代码量也比较大,我也只是分析了它exe还原的过程。它的还原过程还是比较有意思的,还运用了一些反沙箱反虚拟机的技术,因此就整理了一下。自身还原过程SHA1:d1b231e2c71248b61984f3052257d352b0846d8d将样本重命名为1.exe,被感染的样本大小为2.33M样本运行后,被恢复为原始样本,原始样本大原创 2020-06-04 13:59:53 · 1500 阅读 · 1 评论 -
使用Shecodject生成免杀木马
文章目录安装使用安装git clone https://github.com/TaroballzChen/Shecodject.gitcd Shecodjectcd setuppython3 setup.py使用运行shecodject进入主界面输入mpr设置payload文件设置好后输入run进行生成生成payload后返回主界面生成exe,同样,设置好后输入run找到tmp目录下的配置文件,使用msfconsole进行打开在靶机上运行生成的恶意程序,为了方便演示原创 2020-05-22 17:26:37 · 1179 阅读 · 0 评论 -
WannaRen勒索被加密文件解密
文章目录前言Wannaren解密解密关键代码前言要说火爆全网的勒索,莫过于17年的WannaCry了,当时影响广泛,给用户造成了巨大损失。就在前段时间,蹭WannaCry热度的WannaRen勒索也小火了一把,然而来也匆匆,去也匆匆。下图为展示勒索信的解密程序样本为白加黑组合,类似windword加wwlib.dll的白加黑组合在2019年海莲花组织上使用过本篇博客主要讲的是被Wannaren勒索文件解密,其他的信息就不多赘述Wannaren解密Wannaren主要是靠RSA和RC4组合进原创 2020-05-13 20:10:30 · 1119 阅读 · 0 评论 -
MBR勒索之动态调试获取解锁密码
在之前已经说过面对MBR勒索如何手动修复MBR,这次我们通过动态调试的方法来获取密码进行解密其实有时候我们拷贝出的第一个扇区使用ida以16位打开就直接可以看到密码,但有时并不是很幸运,像下面的并不能直接看到密码,ida静态分析16位程序又很吃力,所以使用ida远程调试MBR是最快捷得到密码的方法首先配置一下远程调试MBR的环境将要调试的虚拟机配置文件加入以下内容bios.bootDe...原创 2020-04-05 14:10:03 · 521 阅读 · 0 评论 -
暗刷2345流量宏病毒分析
这个样本是好久之前分析的了,今天在整理文档的时候翻到了,正好发出来该病毒运行后会利用iexplore.exe隐藏访问带有推广计费2345进行暗刷流量,并且还会感染其他Excel工作簿文件。宏代码如下:Attribute VB_Name = "ThisWorkbook"Attribute VB_Base = "0{00020819-0000-0000-C000-000000000046}"...原创 2020-03-10 21:30:25 · 1190 阅读 · 0 评论 -
Emotet银行木马分析
文章目录前言样本运行流程样本分析宏文档分析恶意downloader分析窃密程序分析yara规则IOC前言Emotet是现如今流行的银行木马之一,变种极多,使用的混淆器也各不相同。Emotet主要以垃圾邮件传播,邮件中的宏文档是被用作后续下载Emotet进行持久化攻击的Downloader。此文是以1月份获取的变种样本进行分析。样本运行流程样本分析宏文档分析打开文档,文档中的图片诱导用...原创 2020-02-28 08:43:03 · 2359 阅读 · 2 评论 -
IDA小技巧——快速重命名内存dump地址
我们在逆向的很多时候需要dump内存来进行分析,但是不可避免的是会遇到很多call内存内存地址的汇编语句,call的内存地址在调用之前就会被填充然而当我们dump下来时候用ida打开会变成这样我们双击内存地址后会看到里面填充了各个函数的地址但是我们dump下来是为了更方便的使用ida进行分析,这些地址我们不可能去一个个重命名为调用的函数名,所以这时候我们需要使用更简单的方法把所有内存地...原创 2020-02-15 14:14:00 · 1414 阅读 · 0 评论 -
CTS感染型病毒还原算法解密文件
文章目录前言样本信息样本简要分析加密算法分析总结前言这是最近遇到的一个感染型病毒,感染可移动设备和前用户目录下的exe文件,被感染的文件,病毒母体会首先写入文件中,然后将原始文件加密后和感染标记、加密密钥一同存放在附加数据上。对此,我决定分析算法还原文件。样本信息名称:CTS.exeSHA1:cb54a305a566c00742fb972c4ee62266e880ea78样本简要分析...原创 2020-02-15 11:29:12 · 475 阅读 · 0 评论 -
一个.net样本的简单分析
1.样本概况1.1样本信息病毒名称:1d494e530060d1b4d320cfe58eedca4f732cf8f3MD5: 8F47BB964E517429B9C50989B2D59005SHA1: 1D494E530060D1B4D320CFE58EEDCA4F732CF8F3CRC32: 9BD6E1BF1.2测试环境及工具2.1.1 测试环境Window...原创 2019-11-19 21:01:08 · 384 阅读 · 0 评论 -
JS混淆downloader代码还原
文章目录1.样本代码2.验证downloader3.动态调试4.遇到的问题5.代码还原1.样本代码function UP(m){ var nUX = "charA"; var luz = "t"; var c = nUX + luz; return c;}function AU(){ var uxJ = "YkuOKC7i{\"GUy%x}2c9N*Q+"; return...原创 2019-11-16 16:57:01 · 668 阅读 · 0 评论 -
Morto蠕虫病毒分析报告
文章目录样本信息病毒现场复现分析过程Loader部分Payload部分病毒查杀样本信息名称:cache.txtSHA1:a5f83e3baae0df2cdcf5b7e9e862705aeb2caedb病毒现场复现因为得到的样本没有病毒母体,所以只能手动复现病毒现场,手动复现病毒现场需要两个文件,一个是伪装成txt的病毒dll文件,另一个是写入注册表的payload首先将md.reg...原创 2019-10-31 22:37:12 · 4571 阅读 · 3 评论 -
bat脚本编码加密的简单解密方法
在分析病毒时,总会遇见各种各样的类型的样本,bat脚本病毒也非常常见,bat属于脚本语言,用文本查看器查看源码会一目了然,有很多人不希望让别人看到自己的源码,也就有了一些算是加密的方式本次我要分享的就是利用字符集编码产生的加密方式的解密方法拿到一个bat脚本,用notepad++打开发现都是乱码挦獬敀档景൦䌊尺楗摮睯屳祓瑳浥㈳坜湩潤獷潐敷卲敨汬癜⸱尰潰敷獲敨汬攮數ⴠ硅捥瑵潩偮汯捩⁹祢慰獳...原创 2019-09-26 11:44:58 · 5590 阅读 · 0 评论 -
Delphi恶意样本简单分析
1.样本概况1.1样本信息病毒名称:c211dcbbd8e10154978d06e2ad358e3e790c7d0dMD5: 0220A56A14BDFF24C89ADA2854592DBCSHA1: C211DCBBD8E10154978D06E2AD358E3E790C7D0DCRC32: 6B5B469D1.2测试环境及工具2.1.1 测试环境Window...原创 2019-08-10 13:03:58 · 500 阅读 · 0 评论 -
Wannacry病毒分析
1.样本概况1.1样本信息病毒名称:WannaCry所属家族:WannaMD5值:84C82835A5D21BBCF75A61706D8AB549SHA1值:5FF465AFAABCBF0150D1A3AB2C2E74F3A4426467CRC32:4022FCAA病毒行为:这里描述病毒行为概况,包括清单文件中恶意组件、敏感的权限、加固情况等。1.2测试环境...原创 2019-08-09 16:08:11 · 1180 阅读 · 1 评论 -
一个恶意样本的分析
1.1样本信息1.样本概况病毒名称:bea213f1c932455aee8ff6fde346b1d1960d57ffMD5: 6E4B0A001C493F0FCF8C5E9020958F38SHA1: BEA213F1C932455AEE8FF6FDE346B1D1960D57FFCRC32: 1CD8074D1.2测试环境及工具2.1.1 测试环境Windows ...原创 2019-08-09 15:52:47 · 4265 阅读 · 2 评论 -
熊猫烧香简单分析
1.样本概况1.1样本信息病毒名称:熊猫烧香所属家族:WHBoyMD5值:512301C535C88255C9A252FDF70B7A03SHA1值:CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870CRC32:E334747C病毒行为:病毒会感染可执行文件(exe等文件),网页文件等,能自动运行并访问指定的网址,使 程序图标变成熊猫...原创 2019-08-09 15:40:14 · 1420 阅读 · 0 评论 -
熊猫烧香专杀工具
之前分析熊猫烧香后写的简单的专杀代码#include <stdio.h>#include <stdlib.h>#include <windows.h>#include <Tlhelp32.h>//遍历进程BOOL FindTargetProcess(const char *pszProcessName){ BOOL bKill ...原创 2019-08-09 15:23:46 · 1323 阅读 · 0 评论 -
Sednit组织针对酒店行业宏病毒的简单分析
文章目录1.样本信息2.宏代码分析3.user.dat文件分析1.样本信息样本SHA1:f293a2bfb728060c54efeeb03c5323893b5c80dfword内容:2.宏代码分析宏代码本身是加密码的,这里就使用VBA Password Bypasser进行绕过,最后得到的宏代码如下Sub AutoOpen() ExecuteEnd SubPriva...原创 2019-08-07 17:13:18 · 203 阅读 · 0 评论