Yuner_蠕虫病毒分析

已于 2023-03-16 23:06:49 修改
阅读量328 收藏 2
点赞数 1
分类专栏: 病毒分析 文章标签: 经验分享
于 2023-03-16 22:47:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46350890/article/details/129600628
版权
文章详细描述了对一种利用AutoIt编写的病毒进行分析的过程,包括静态和动态分析方法。病毒通过在system32目录创建副本,利用autorun.inf文件在系统启动时自动执行以实现自我传播。此外,它还检测并对抗杀毒软件。分析过程中提到了使用IDA工具以及Exe2Aut来解析恶意代码的逻辑。
摘要由CSDN通过智能技术生成

前言

在第一次分析到这个病毒时候,绕了非常大一圈。
结合行为,扔进ida里分析。硬是没找到恶意操作和蠕虫这个传播自身的地方…
后来发现这个autoit原来是个脚本。

基本信息收集

查看编写信息、区段信息、导入表等
Exeinfo查询基本信息
虽然区段显示了upx区段,但是并不需要管他。后续借助工具就可以很直观的看到逻辑代码。

windows下的一个脚本语言
AutoIt说明

动态分析

借助火绒剑工具观察行为。

将自身拷贝到系统目录下并随机命名
创建文档并启动

  • 行为总结:
    • 在system32目录下创建多个随机名字的复制体
    • Windows目录下创建文档

静态分析

这里需要借助一个逆向工具:Exe2Aut
在这里插入图片描述
将文件直接拖入
在这里插入图片描述
拖入之后其实已经非常清楚了,根据函数名就可以捋清逻辑

代码分析

对抗杀毒软件

  • 检测、kill杀软进程、对抗杀软等操作
    在这里插入图片描述
    在这里插入图片描述

创建文件

  • 创建随机名字文件、创建文档并启动。
  • 这里就可以与前面我们分析的行为进行呼应了
    在这里插入图片描述

传播实现(重要部分)

在这里插入图片描述

在这里插入图片描述
这里解释一下autorun.inf文件。顾名思义,autorun(自动执行)。该文件在双击磁盘插入移动设备的时候会自动执行文件内写入的命令以达到传播自身的目的。

总结

到这里已经分析完成,利用autorun.inf文件传播自身也是很多蠕虫病毒常见行为。第一次分析的时候,也踩了很多坑(例如:第一次见到AutoIt写的软件、Autorun.inf文件作用、拿着ida狂看)。此篇对这些坑做了很多说明,分享经验同时也做个总结。

my啊
关注
专栏目录
morris蠕虫病毒
zhangzhechun的专栏
02-27 1386
发送邮件时,蠕虫会利用Sendmail程序的漏洞,伪装自己的源地址,并将自己的源码附加到邮件中。该蠕虫通过利用Unix系统中的漏洞,以分布式方式快速传播,导致当时的互联网中的数千台计算机崩溃或变得无法使用,造成了大量的损失和混乱。Morris蠕虫的意义不仅在于它是历史上第一次对互联网的破坏性攻击,更在于它促使了更广泛的对计算机安全问题的关注和研究,以及对互联网安全性的提高。由于Morris蠕虫的快速传播和破坏性,它在互联网上造成了严重的影响,促使人们开始关注计算机安全问题,并开展了更广泛的研究和探讨。
学生信息管理系统 C项目 源码+详细文档
09-26
四、源码分析 项目提供的源码涵盖了以上所有功能的实现,通过阅读源码,可以深入理解C语言在实际项目中的应用,学习如何组织代码、设计数据结构以及实现文件操作等核心技能。 五、文档详细说明 项目附带的详细...
应急 | BuleHero挖矿蠕虫最新变种分析
moresec的博客
03-28 412
catalina.out即标准输出和标准出错,所有输出到这两个位置的都会进入catalina.out,这里包含tomcat运行自己输出的日志以及应用里向console输出的日志。catalina.{yyyy-MM-dd}.log是tomcat自己运行的一些日志,这些日志还会输出到catalina.out,但是应用向console输出的日志不会输出到catalina.{yyyy-MM-dd}.log,它是tomcat的启动和暂停时的运行日志,注意,它和catalina.out是里面的内容是不一样的。
什么是蠕虫病毒,如何防护蠕虫病毒
最新发布
kk_177803619的博客
08-01 587
要有效防护蠕虫病毒的攻击,用户和组织需采取综合性的防护措施,包括及时更新系统和应用程序、安装杀毒软件和防火墙、强化密码安全、限制网络共享、定期备份数据、进行网络安全培训和监控网络流量等方式,提高系统的安全性和抵御蠕虫病毒的攻击能力。安装杀毒软件和防火墙:使用正规、可信赖的杀毒软件和防火墙进行系统防护,及时检测和清除潜在的蠕虫病毒,阻止恶意程序的传播和入侵。强化密码安全:设置强密码,定期更换密码,避免使用简单易猜测的密码,提高系统的账号安全性,减少被蠕虫病毒猜测或破解的机会。
飞客蠕虫(Conficker)
swordheart的博客
01-20 3892
飞客蠕虫(Conficker) 1、病毒简介 1什么是飞客蠕虫Conficker 飞客蠕虫(国外常用叫法conficker, kido, downup,downadup)是利用微软MS08-067漏洞发起攻击的蠕虫病毒,常用端口是445、139,中毒症状包括请求解析随机域名、不能正常访问安全厂商的网站或服务器、下载木马。飞客蠕虫主要通过这些系统进程explorer.exe、services.exe、svchost.exe注入自己的病毒dll,此病毒dll的名字是随机值,一般为方便开机即运行该蠕虫,有其
局域网雨云蠕虫病毒的处理
weixin_33811961的博客
06-11 987
最近跳槽换了家单位,300多台pc,2台文件共享服务器Server。PC的操作系统大部分是win7,少量是xp,Server的操作系统均为win2008 server R2,在Server上共享用户为everyone,共享和安全权限为完全控制。网络设备张核心为华为S5348,但是未做任何配置,其他交换机使用的D-LINK 1024D或者1024T,清一色傻瓜式交...
最新病毒预警--Prometei 蠕虫病毒
热门推荐
weixin_48555088的博客
03-21 21万+
近日,火绒安全实验室监测到蠕虫病毒“Prometei”正在全网传播。该病毒通过横向渗透攻击方式对局域网中的终端进行大面积入侵,并且可以跨平台(Window、Linux、macOS等系统)横向传播。火绒安全提醒广大用户,尤其是企业、政府部门、学校、医院等拥有大型局域网机构,及时做好排查与防护工作,避免受到该病毒影响 ...
鼠标右键清理工具
08-25
这类工具的主要功能是帮助用户删除、禁用或定制右键菜单中不常用或冗余的选项,以优化操作体验,提高工作效率。在Windows系统中,鼠标右键菜单是用户常用的快捷操作入口,随着时间的推移,安装的软件会不断增加右键...
安全警告:最新蠕虫病毒正在网络横行
huasheng123的专栏
05-12 495
安全警告:最新蠕虫病毒正在网络横行  对网络威胁进行跟踪的Internet Storm中心对大家提出警告:一种蠕虫病毒正在感染一些安全性较低的网站,并且会对其数据库进行攻击。据报告,目前大约已有4000个网站被感染,被攻击的网站会被增加一些隐性代码,当用户访问这些网站时,这些代码会使访问者下载一些恶性软件到他们的电脑上。    提示大家:不要访问那些在进行网络搜索时会在页面中(包括缓存的网页)显示
Stuxnet 蠕虫病毒可能是有史以来最复杂的软件
csdm_cjm的专栏
06-13 2125
我们不知道 Stuxnet 的作者是谁,只知道大概是在2005年至2010年间编写的。这种病毒藏在 U 盘上。当 U 盘插入 PC,它会自动运行,将自已复制到该 PC。它至少有三种自动运行的方法。如果某种方法行不通,就尝试另一种。其中的两种运行方法是全新的,使用了 Windows 的两个无人知晓的秘密 Bug。一旦蠕虫进入 PC ,它会尝试获得该 PC 的管理员权限,使用的也是前面提到的那两个...
局域网雨云蠕虫病毒怎么解决?
weixin_54435164的博客
03-15 1532
如何彻底清除局域网雨云蠕虫病毒,使用这个批处理文件只能清除单台设备的,但设备在局域网中一直在和服务器通讯,跪求大佬 ???? @echo off Echo 程序先中止wscript.exe tskill wscript ECHO 程序正在搜索和删除Yuyun蠕虫藏身的thumb.db和database.mdb文件 del thumb.db /f /q /s /ah del database.mdb /f /q /s /ah echo 程序正在寻找和删除Yuyun蠕虫生成的的快捷方式 for /r %%a
网络蠕虫理论、代码大全
09-19
蠕虫病毒基本原理、以及一些经典的实现代码(C#版). 另附:一些其他病毒的原理。 还有一些 病毒防范的基本小技巧。其中包括了 怎么搭建蜜罐,APP网络欺骗原理及对策分析研究、定位网络故障、基于陷阱网络的病毒捕获系统研究与应用、计算机蠕虫疫苗的进展跟趋势说明、以及一些重点案例。
蠕虫(yuyun)病毒清除工具
03-26
蠕虫(yuyun)病毒清除工具。可清除yuyuncantix病毒,并修复造成的破坏
计算机病毒的类型及蠕虫病毒的防范
Galaxy_0的博客
11-01 657
按照计算机病毒的寄生方式分类,可将计算机病毒分为引导型病毒、文件型病毒和混合型病毒引导型病毒通过感染软盘的引导扇区,并进而感染硬盘和硬盘中的“主引导记录”。当硬盘被感染后,计算机就会感染每个插入计算机的软盘。引导型病毒在占据引导区后会将系统正常的引导程序放到其他位置,系统在启动时先调用引导区的病毒程序,再转向执行真正的引导程序,因而系统仍然能够正常使用,但是病毒程序实际已经启动。文件型病毒是通过操作系统的文件进行传播和感染的病毒。
蠕虫病毒
weixin_44573244的博客
05-29 6185
参考链接: https://blog.csdn.net/vinep/article/details/3899696. 原理 蠕虫是一种可以自我复制的代码,并且通过网络传播,通常无需人为干预就能传播。蠕虫病毒入侵并完全控制一台计算机之后,就会把这台机器作为宿主,进而扫描并感染其他计算机。当这些新的被蠕虫入侵的计算机被控制之后,蠕虫会以这些计算机为宿主继续扫描并感染其他计算机,这种行为会一直延续下去。 结构 蠕虫的基本程序结构为: 1、传播模块:负责蠕虫的传播,这是本文要讨论的部分。 2、隐藏模块:侵入主机
什么是蠕虫病毒
wanhengwangluo的博客
06-13 517
蠕虫病毒是网络安全领域中的一大威胁,蠕虫病毒有着极强的隐蔽性,传播速度十分快,有着极强的破坏力,会给企业正常运转的业务带来巨大的挑战,为了能够有效的应对蠕虫病毒,企业采取了一系列的技术性措施,构建一个多层次、全方位的防护体系来进行抵御蠕虫病毒蠕虫病毒是一种常见的计算机病毒,会利用网络来进行复制和传播,它的传染途径是主要通过网络和电子邮件,蠕虫病毒和一般的病毒是不同的,它不需要附着在宿主程序当中,一般是通过端口漏洞来进行传播的。
tomcat 9.0
07-27
Tomcat 9.0是一个开源的Java Servlet容器,用于在Java平台上运行Web应用程序。要安装和配置Tomcat 9.0,你可以按照以下步骤进行操作: 1. 首先,确保你已经下载并安装了JDK和JRE。这两个组件是Tomcat运行所需的基本环境。你可以通过检查系统环境变量来确认它们是否正确配置\[2\]。 2. 接下来,你需要下载Tomcat 9.0的安装包。你可以从官方网站或其他可靠的来源获取安装包。 3. 下载完成后,解压缩安装包到你想要安装Tomcat的目录中。 4. 在系统变量中创建两个新的环境变量:CATALINA_BASE和CATALINA_HOME。这两个变量的值应该是Tomcat的安装路径,比如"D:\YUNER\apache-tomcat-9.0.68" \[1\]。 5. 打开命令行工具,使用"Win+R"组合键打开cmd命令行。在命令行中使用cd命令切换到你下载好的Tomcat的bin目录下,比如"D:\apache-tomcat-9.0.33\bin" \[3\]。 6. 在bin目录下,你可以运行startup.bat脚本来启动Tomcat服务器。启动成功后,你可以在浏览器中访问"http://localhost:8080"来验证Tomcat是否正常运行。 这些是安装和配置Tomcat 9.0的基本步骤。你可以根据具体的操作系统和需求进行调整和扩展。希望对你有帮助! #### 引用[.reference_title] - *1* *2* *3* [2022-11-02 | Tomcat9.0安装及配置教程(win10) by YUNER](https://blog.csdn.net/Kd_2number/article/details/127680792)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值