病毒分析之伪装360主动防御病毒分析_XiaoBa-20
样本概况
说明:此样本应该是之前被抓的黑客XiaoBa的中期作品。(见下边截图信息)
样本最初于18年1月份发布,我这里于18年2月份捕获,样本并不是太复杂,但影响范围比较大。
作者病毒家族流行情况见:https://bbs.pediy.com/thread-230294.htm
文件: C:\Users\Hades-win7\Desktop\68c52de83e5247.vir
大小: 121608 bytes
文件版本:3, 2, 2, 2075
修改时间: 2018年7月10日, 11:05:02
MD5: BE377A38084FC7150DB1BDD8F254684A
SHA1: 463CDC616A161E88370C4AC68AC197D8ED015FF7
CRC32: FE3817F0
恶意行为
1.以仿360的ZhuDongFangYu.exe进程运行自身.
2.拷贝自身到系统目录,设置文件属性为隐藏,只读和系统文件
3.操作注册表,禁用UAC权限,添加开机启动项,禁用系统自带的注册表工具,删除安全选项
4.遍历磁盘,复制自身到磁盘根目录,并创建autorun.inf配置文件,用来启动自身
5.修改host文件,禁止访问安全软件官网
6.创建感染线程,感染部分可执行文件和脚本文件,