病毒分析之伪装360主动防御病毒分析_XiaoBa-20

最新推荐文章于 2023-06-29 15:32:14 发布
最新推荐文章于 2023-06-29 15:32:14 发布
阅读量904 收藏 2
点赞数
分类专栏: 软件安全 网络安全 逆向分析 文章标签: 病毒分析 XiaoBa 伪装360
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wrsharper/article/details/81872771
版权
该病毒样本伪装成360的ZhuDongFangYu.exe,进行多种恶意行为,包括自我复制、设置隐藏属性、禁用UAC、添加启动项、修改注册表、禁止安全软件访问,并感染可执行文件和脚本。分析显示,病毒使用易语言开发,借助黑月插件以避免查杀。
摘要由CSDN通过智能技术生成

病毒分析之伪装360主动防御病毒分析_XiaoBa-20

样本概况

说明:此样本应该是之前被抓的黑客XiaoBa的中期作品。(见下边截图信息)

样本最初于18年1月份发布,我这里于18年2月份捕获,样本并不是太复杂,但影响范围比较大。

作者病毒家族流行情况见:https://bbs.pediy.com/thread-230294.htm

文件: C:\Users\Hades-win7\Desktop\68c52de83e5247.vir

大小: 121608 bytes

文件版本:3, 2, 2, 2075

修改时间: 2018年7月10日, 11:05:02

MD5: BE377A38084FC7150DB1BDD8F254684A

SHA1: 463CDC616A161E88370C4AC68AC197D8ED015FF7

CRC32: FE3817F0

恶意行为

1.以仿360的ZhuDongFangYu.exe进程运行自身.

2.拷贝自身到系统目录,设置文件属性为隐藏,只读和系统文件

3.操作注册表,禁用UAC权限,添加开机启动项,禁用系统自带的注册表工具,删除安全选项

4.遍历磁盘,复制自身到磁盘根目录,并创建autorun.inf配置文件,用来启动自身

5.修改host文件,禁止访问安全软件官网

6.创建感染线程,感染部分可执行文件和脚本文件,

最低0.47元/天 解锁文章
HadesW_W
关注
专栏目录
9月22号360电话面试——病毒分析
Juery_Lee的专栏
01-14 2416
360面试
Worm.Magistr.g
03-21 1114
病毒名称: Worm.Magistr.g病毒是由C语言编写的感染型病毒,感染后缀名为EXE的32位PE可执行程序,病毒源的大小为40KB。病毒源文件为boot.exe,由用户从U盘上提取。病毒源文件流程:boot.exe运行后检查自己是否在驱动器根目录下,如不是退出。检查是否存在"C:/WINNT/linkinfo.dll",如果不存在则建立该文件。检查驱动文件是否存在,如不存在则生成驱动文件%S
Windows权限维持方案(可过360主动防御
jihaichen的博客
04-26 1735
Windows权限维持方案(可过360主动防御
html格式蠕虫病毒,XiaoBa自制蠕虫病毒[2018-1-10]
weixin_31220971的博客
06-23 535
2018-1-10 23:02:05 创建文件夹 风险提示:低风险 允许进程: c:\documents and settings\administrator\桌面\zhudongfangyu.exe目标: C:\WINDOWS\360规则: [文件组]?:\*《任意文件夹》 -> [文件]?:\*2018-1-10 23:02:20 创建文件 风险提示:低风险 允许...
主动防御的有效方法
快乐天使
01-04 397
一般的木马运行添加自启动就会被杀毒软件的主动防御或者360拦截,前几天在网上发现了几个注册表自启动的方法,效果还不错,也算是目前主动防御的一大死角了,连微点竟然也拦截不到。   1.cmd运行前执行的程序(被动启动) HKEY_CURRENT_USERSoftwareMicrosoftCommand Processor AutoRun REG_SZ "xxx.exe"   2.session m...
360-2018年勒索病毒疫情分析报告(网络安全)-2019.2-32页.pdf
04-25
在报告的附录部分,列举了2018年勒索病毒的几个重大事件,如GANDCRAB勒索病毒的两次破解、省级儿童医院系统因勒索病毒瘫痪、国产XIAOBA勒索病毒利用外挂传播等。这些事件不仅对受害者造成了直接的经济损失和数据丢失...
vue插槽slot的简单理解与用法实例分析
10-15
Vue.js 是一款流行的前端JavaScript框架,它的核心特性之一就是组件化。在组件化开发中,有时我们需要在组件内部自定义一些动态内容,这就引出了Vue的插槽(Slot)机制。插槽允许父组件向子组件传递内容,并决定这些...
Cochrane RoB 2 tool
最新发布
04-01
在探讨"Cochrane RoB 2 tool"这一主题时,我们首先需要了解其核心概念以及它在系统评价与Meta分析中的应用价值。Cochrane RoB 2(Risk of Bias 2)工具是Cochrane协作网为评估随机对照试验(Randomized Controlled ...
手把手教你搭建Jenkins实现自动化部署Jar
Java笔记虾
09-20 4778
centeros7 安装配置环境jdk1.8 1.先卸载centeros自带jdk rpm-qa|grepopenjdk 查询出来的自带的openjdk 2.删除 rpm-e--nodeps 3.再次查询 rpm-qa|grepjdk 4.在usr/local创建文件夹 cd/usr/local mkdirjava ...
免杀360主动防御加入白名单代码放出
08-04
免杀过掉360主动防御加入白名单代码放出 仍痛割爱的放出来 象征性的收些分吧 希望大家珍惜
主动防御的免杀经验(简单易懂)
07-14
我介绍的几种方法思路独特,不同于网上的那些复杂的手段
开源项目-EwanValentine-deepscan.zip
09-03
开源项目-EwanValentine-deepscan.zip,I wrote an IP/port scanner to sharpen my concurrency skills, feedback appreciated!
zhudongfangyu.exe进程是360主动防御进程,用来监控电脑系统,防止电脑病毒出现并阻止病毒或木马的安全进程...
weixin_30664615的博客
05-01 469
zhudongfangyu.exe进程是360主动防御进程,用来监控电脑系统,防止电脑病毒出现并阻止病毒或木马的安全进程 转载于:https://www.cnblogs.com/zhang-pengcheng/p/6791230.html...
[热门]浅谈360主动防御(360提示)、瑞星主动及360实时查杀的免杀技巧
人生代码,代码人生。。。
11-23 4392
今天我给大家讲解一下过360主动和瑞星主动的新思路   现在的360很变态,一方面联合360杀毒,360安全卫士,后台收集数据进行联合防御策略   根据我的研究,360实时监视你的电脑,如果你的某个文件操作不符合系统规范时,比如   后台安装服务,插入进程,COPY文件到系统目录,他就将父文件等全部后台上传,进入360   服务器后,进行MD5定位,这时,如果有如果有其他电
在学习基于mfc的反病毒软件开发中遇到的一些问题和解决办法
小飞飞的博客
01-31 427
一、在VS2017中编译生成的exe程序,在其他操作系统里面缺少dll文件如何解决? 原因: 没有在项目创建之初设置成:在静态库中使用MFC。(而是选择了在共享dll中使用MFC) 静态编译:就是在编译可执行文件的时候,将可执行文件需要调用的对应动态链接库(.so)中的部分提取出来,链接到可执行文件中去,使可执行文件在运行的时候不依赖动态链接库。 解决办法: 第1种: 设置: 1...
代码质量检测(一) —— 常用代码质量管理工具
liaoguangxi的博客
06-29 8925
FindBugs是一个java byte code静态分析工具,检测出Java程序中上百种潜在的不同类型的错误。不注重style及format,注重检测真正的bug及潜在的性能问题,尤其注意尽可能抑制。
代码质量审核和管理工具分析比较
爱是与世界平行
05-18 2470
代码质量审核和管理工具分析比较1、SonarQube1.1 SonarQube使用2、DeepScan3、Klocwork4、CodeSonar5、JArchitect6、Fortify7、Codecov 1、SonarQube SonarQube是市场上最受欢迎的代码质量和安全性分析工具。它在开源社区的支持下,目前可以分析和产生对超过25种编程语言的输出,这比市场上大多数工具都要高。它具有免费的社区版本和其他付费版本。利用SonarQube的主要好处是: 它集成了数千种自动的静态代码分析规则,旨在提高开
一文了解全面静态代码分析
PerforcChina的博客
04-21 2589
在开发具有安全性、可靠性和合规性的软件时,全面静态代码分析是一种有效的方法。在这里,我们将就静态分析而言,讨论全面静态代码分析的不同之处,阐述全面静态代码分析的重要性,以及如何进行全面静态代码分析。 什么是全面静态代码分析 全面静态代码分析,或只是全面分析,是指分析结果的完整性或“健全性”。静态代码分析工具据称能够提供可靠的分析结果,这意味着如果某个软件中存在特定的缺陷或漏洞,该分析工具将报告上述问题。 如果不确实是否存在问题,则提供某种形式的警告,这样就不会“漏掉”任何问题。 (注:这些问..
R语言中二元logistics回归如何向前逐步回归
08-25
对于R语言中的二元logistic回归,可以使用逐步回归方法来选择变量。逐步回归是一种逐渐将变量引入模型的方法,通过比较不同模型的性能选择合适的变量。 在R中,可以使用step函数来进行逐步回归。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值