病毒分析之Virut病毒感染样本分析(setup.exe)

最新推荐文章于 2024-01-05 18:34:50 发布
最新推荐文章于 2024-01-05 18:34:50 发布
阅读量7.4k 收藏 7
点赞数 4
分类专栏: 逆向分析 软件安全 ASM 文章标签: 病毒分析 Hook 逆向分析 安全研究
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wrsharper/article/details/81065254
版权
本文详细分析了Virut病毒感染样本setup.exe,包括样本概况、恶意行为、分析记录和执行流程。样本通过感染可执行文件、Hook API、创建远程线程等方式进行扩散,并修改注册表、复制自身到移动设备、建立网络连接。分析揭示了Virut病毒的复杂性和感染机制。
摘要由CSDN通过智能技术生成

病毒分析之Virut病毒感染样本分析(setup.exe)

样本概况

文件: C:\Users\Hades-win7\Desktop\setup_mima666\setup.exe
大小: 369664 bytes
文件版本:8.0.50727.42 (RTM.050727-4200)
修改时间: 2014年4月21日, 11:18:00
MD5: E29DAE6188A0B0BB797C42F68D8DFA41
SHA1: 16B5B2BBEFD499AAE7B3B6111ABB2409AC76FAB1
CRC32: 43952BC7

该样本为正常程序被病毒感染后的样本,运行效果如图:


恶意行为

2.1创建内存映射,注入进程
2.2修改注册表,添加防火墙信任列表
2.3挂钩系统函数,过滤消息感染进程
2.4连接恶意网址,发送数据,接收数据,接受远程控制(服务器ilo.brenz.pl ant.trenz.pl)
2.5感染移动磁盘,复制病毒并创建autorun.inf文件,写入启动信息为病毒

2.6感染可执行文件

分析记录

执行完病毒代码后,调用原程序执行.


创建病毒文件到临时目录

最低0.47元/天 解锁文章
HadesW_W
关注
专栏目录
Virut感染型病毒查杀工具
摔不死的笨鸟的博客
08-25 2743
职业病毒分析师的职责是为安全运营团队提供有力的后台支持,并能处置突发的大型感染病毒和勒索病毒。 下面是自己写的Virut一款感染型病毒的修复工具。该工具没有遍历文件,只是修复了C盘下被病毒感染后的一个文件:hypertrm.exe.V。有兴趣的可以研究交流。 // VirutRemoveTool.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include <Windows.h> #define BYTELENGTH 1024 int Restor
Virut样本取证特征
weixin_30408309的博客
05-09 1022
1、网络特征 ant.trenz.pl ilo.brenz.pl 2、文件特征 通过对文件的定位,使用PEID查看文件区段,如果条件符合增加了7个随机字符区段的文件,则判定为受感染文件。 3、受感染特征 参考: 【病毒分析Virut.ce-感染型病毒分析报告 http://www.cnblogs.com/17bdw/p/7776877.html 4、证明正常进程空间里含有恶意代码...
计算机病毒样本提取工具
05-18
对可疑计算机做病毒分析,提取可疑文件及样本,进行分析及提交。
virut详细分析
weixin_30872867的博客
06-24 571
Virut分析 0x00、综合描述 virut样本的执行过程大体可以分为六步:第一步,解密数据代码,并调用解密后的代码;第二步,通过互斥体判断系统环境,解密病毒代码并执行;第三步,创建内存映射文件,执行内存映射文件代码;第四步,遍历进程列表除前4个进程外其他进程全注入代码,挂钩七个函数;第五步,向注入进程创建远程线程(远程线程创建成功不再二次创建),感染hosts文件,感染移动磁盘,修改注册表...
如何捕获电脑病毒样本
weixin_34244102的博客
03-11 827
众所周知,计算机病毒与医学上的“病毒”不同,它不是天然存在的,是某些人利用计算机软、硬件所固有的脆弱性,编制的具有特殊功能的程序。其能通过某种途径潜伏在计算机存储介质(或程序)里,当达到某种条件时即被激活,它用修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中,从而感染它们,对计算机资源进行破坏的这样一组程序或指令集合。 长期操作电脑者会发现,病毒往往...
计算机信息安全-病毒,信息安全-计算机病毒.doc
weixin_30000283的博客
07-20 223
信息安全-计算机病毒信 息 安 全——熊猫烧香病毒的清除班级:9班姓名:周杰学号一.实验设计1、备好病毒样本先准备一张含有熊猫烧香病毒的软盘或光盘,或带有熊猫烧香病毒的U 盘。2、运行VMWare 虚拟机软件。为了整个计算机本身的安全或整个实验室系统的安全,让实验在虚拟的环境下进行,3、检测干净系统4、种植熊猫烧香病毒插入含有熊猫烧香病毒的U 盘、光盘或者软盘,点击含有熊猫烧香病毒文件夹下的set...
远程控制-Virut蠕虫病毒(需专杀工具请三连并私信)
傲月大人的博客
07-23 2797
威胁描述: Virut病毒是一种文件感染型木马病毒,受影响系统为微软Windows。Virut可能利用IRC(Internet Relay Chat)与远程攻击者建立连接,最早于2006年在波兰被首次发现。 感染Virut的主机意味着全盘大部分的可执行文件(主要是exe和scr),以及大量的HTML文档,都会被恶意修改,以追加恶意代码。所以,受感染主机本地的任何一个软件应用,一打开极可能触发Virut运行起来。 Virut的目的在于长期利用受害者主机,窃取用户重要信息,下载并给用户安装不必要的流氓或恶
专杀工具Virut专杀.zip
05-28
2. **感染机制**: Virut病毒会感染其他.exe和.dll文件,通过在这些文件中插入其代码来确保自身的持续传播。这种感染方式使得清除工作变得复杂,因为可能有大量被感染的文件需要处理。 3. **危害性**: 一旦电脑被...
[ 应急响应工具箱 ] 一些病毒的专杀工具.rar
02-11
[ 应急响应工具箱 ] 一些病毒的专杀工具 包含如下专杀工具 Parite专杀工具 Ramnit专杀工具 Sality专杀工具 Spybot专杀工具 Virut专杀工具 Zbot或Zeus专杀工具 飞客蠕虫专杀工具
计算机病毒基础教程
11-15
教你一步一步的制作windows下的病毒,如小白,为了更好的学习可以先了解相关知识。
如何捕获计算机病毒样本
12-20
如何捕获计算机病毒样本的文档教程,每一步都有讲述。
win32.virut病毒的清除方法
07-17
计算机类操作几应用..
vadnxsjc.exe Win32/Virut.病毒
cxyd4399的博客
03-28 589
格式化重装
经典计算机病毒介绍
最新发布
赖格宝的博客
01-05 1438
蠕虫的主体只能感染DEC的VAX机上运行的BSD 4以及Sun 3系统,而程序中的一段C语言代码会调用程序主体,使其在其它的系统上也能运行。,中国警方破获的首例计算机病毒大案,国人最熟悉的病毒了, 使用Windows系统的用户中毒后,后缀名为.exe的文件无法执行,并且文件的图标会变成熊猫举着三根烧着的香的图案。当时,由于当地盗版软件猖獗,为了防止软件被任意非法拷贝,也为了追踪到底有多少人在非法使用他们的软件,于是在1986年年初,他们编写了“大脑(Brain)”病毒,又被称为“巴基斯坦”病毒
Virut.ce-感染型病毒分析报告
weixin_30813225的博客
11-03 1169
1.样本概况 病毒名称 Virus.Win32.Virut.ce MD5 6A500B42FC27CC5546079138370C492F 文件大小 131 KB (134,144 字节) 壳信息 无壳 文件名 9-29_vir.exe(感染程序) 数字签名 NO 时间戳 2000年1月10日, 12:00:00 1.1 样本行为  恶意代码为感染...
专伤浏览器、会“自杀”的***病毒样本简单分析
weixin_34112030的博客
09-22 275
病毒预警是由国家计算机病毒应急处理中心近期发布的,该病毒会自我删除进行隐藏,还会向IE收藏夹中释放URL快捷方式,并篡改IE首页和下载其他***、病毒等恶意程序。本文对此病毒进行了分析。此病毒预警是由国家计算机病毒应急处理中心近期发布的,内容如下:近期出现一种恶意***病毒,该程序会自我删除进行隐藏,向IE的收藏夹中释放URL资源地址快捷方式,强行篡改IE主页并下载其他**...
介绍七种常见还危险的病毒(带样本
2301_78858007的博客
07-16 1010
简介:能够感染用户计算机bai系统中的.exe、.dll和.html文件,将自身加密以后缀加到目标文件中。样本(源文件):https://wwx.lanzoux.com/iJx4njrpz1c / https://wwx.lanzoui.com/iYRNLwd8ldc。英文名称:Virus.Win32.Viking.A(标准) / Worm.Win32.Fujack.A(标准)英文名称:Net-Worm.Win32.Blaster.A(标准)/ Lovesan.A/ Msblast.A。
病毒样本分析小结
星焱宖
05-27 3191
这是笔者跟从具有多年反病毒引擎开发人员学习感悟的一些知识点,希望与大家一同交流
Dll注入技术之劫持注入
热门推荐
Hades的博客
06-28 1万+
Dll注入技术之劫持注入测试环境系统:Windows 7 32bit工具:FileCleaner2.0 和 lpk.dll主要思路利用Window可以先加载当前目录下的dll特性,仿造系统的LPK.DLL,让应用程序先加载我们的伪LPK.DLL,然后在我们的dll中去调用原来系统的原函数.引用网络中的原理讲解●背景知识●首先我们要了解Windows为什么可以DLL劫持呢?主要是因为Windows的...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值