首页
学习
活动
专区
工具
TVP
发布

病毒丨熊猫烧香病毒分析

作者丨黑蛋一、病毒简介病毒名称:熊猫烧香文件名称:40fee2a4be91d9d46cc133328ed41a3bdf9099be5084efbc95c8d0535ecee496文件格式:EXEx86文件类型...section_name_exception,lang_chinese,timestamp_exception二、环境准备虚拟机调试器安全软件Win7x86x32dbg、OD火绒剑三、程序脱壳首先修改病毒后缀为...exe拖到IDA中,从start开始分析,F5反汇编:首先前面一坨都是一些变量赋值等操作,重点在以下三个函数:5.1、sub_40819C分析通过对函数内部分析,猜测加分析,对部分函数命名,以及对部分变量直接赋予字符串...5.3.6、第六个计时器首先跟进箭头函数,可以看到是一些网络操作,读取创建等操作:返回上一步向下看,同样是一些下载东西,创建文件,然后启动等操作:​六、总结此病毒是加了一个壳,然后需要脱壳修复IAT表,...然后拖到IDA中静态分析就可以了。

4K30
您找到你想要的搜索结果了吗?
是的
没有找到

骷髅病毒分析

一、病毒信息 病毒名称:骷髅病毒 文件名称: d5dac2456fa6758480e946aa6a1597399bf0b9e7df1383c7ba568559b969a827 文件格式: EXEx86...四、行为分析 首先我们需要将病毒样本加入火绒软件信任区,让火绒不要干扰病毒程序运行,接下来打开火绒剑: 点击开始监控,然后双击运行骷髅病毒,首先可以看到骷髅病毒本体已经不见: 接下来进行过滤:...在这里我们可以详细的看到骷髅病毒的所有行为,简单的根据动作过滤来看一下病毒行为: 可以看到这里是创建了一个新的EXE,最后通过cmd删除本体。...五、静态分析 把脱壳后的1.exe拖入Ida,找到WInMain,F5: 这是主函数,相应注释都在上面: 然后进入sub_405A52(),就是简单判断自己创建服务是否已经被创建,服务名称是15654656...回到上一层,继续往下看,生成随机名称,拷贝自身在Windows目录下: 接下来就是对服务的创建启动等操作: 最后来到sub_40355B: 跟进去,可以看到这是一个删除文件函数,根据之前的行为分析

40610

Sodinokibi 病毒分析报告

该样本是云沙箱漏报的样本,需要人工分析漏报的原因,以及具体的行为分析。...反沙箱技术 该样本在运行初期,会调用 2 次 SetErrorMode 函数,通常我们分析病毒的时候,都是直接就跳过了,并没有往里面深入多想。但这却能成为反沙箱的技术手段。 ?...最后修改其标志位可以让沙箱正常把病毒跑起来了。 GandCrab5.2 和他的继承者 Sodinokibi 都使用了此反沙箱的技术手段。...病毒分析 往下的病毒分析主要就是写分析流程了,当时外网发布的那篇分析文章就十分之详细 样本是个伪装成 PDF 文件的 .exe 程序,拖入 IDA 静态分析在函数列表找到 wWinMain 入口函数 先做了恶意代码运行前的前期铺垫工作...据其病毒家族中的成员行为分析,其中配置文件中如果“exp”字段为“true”,则使用漏洞 CVE-2018-8453 通过提升特权执行 32 位或 64 位 shell,但此分析的版本字段为 false

1.6K30

Mydoom蠕虫病毒分析

a3006cc68638ab4fc24f092bf6563291f2e237fe4e86159a08bb5443d499828d 壳类型 UPX 家族 Mydoom 传播方式 邮件 主流程图 主程序 病毒使用...upx壳加密,先使用工具或手动脱壳 病毒先初始化套接字和线程ID便进入主函数: 在主函数中,判断注册表的shell键值是否存在,不存在则创建: 接着在临时目录或系统目录下释放一个动态库并加载运行...继续主线程往下分析,样本会打开c盘根目录下的init文件,读取里面的文件,但我主机上没有此文件,对于他要做啥也是不明所以。...Aigu.dll分析 此文件依旧是使用upx加壳,脱壳后发现函数并不多,主函数逻辑也比较简单: 样本会开启本地的1080端口等待服务端的连接: 一旦连接成功,便创建线程。...分析过程中没有连接成功,只能通过静态分析猜测,服务端会发送命令过来,然后病毒根据不同的命令执行不同的动作: 同时病毒还有关闭杀软的操作: 总结 随着技术的迭代更新,攻击者的伪装技术也随之发展

55120

病毒丨3601lpk劫持病毒分析

dll: 随后就是网络链接操作了: 可以看到一直在进行发包收包操作,结合沙箱的分析结果: 可以看到一共访问了三个域名:sbcq.f3322.org;www.520123.xyz;www.520520520....org 总结一下就是释放dll,网络链接; 四、静态分析 拖入PEID,啥也没,应该是被脱过了: 拖入IDA中,直接在winmain函数处F5: 4.1、sub_405A52 可以看到这里是一个简单的判断服务是否启动...五、hra33.dll分析 看完病毒体,我们再看一下关键dll–>hra33.dll,直接在c:\windows\system32下找到hra33.dll,拖入IDA中分析,直接在主函数处F5: 5.1...六、病毒总体思路总结 首先开始运行,判断是否有病毒的注册表: 是:注册函数设置服务请求–设置启动服务–找到dll,释放–把病毒和服务加到hra33.dll,然后加载此dll– 线程1(家里IPC链接,局域网内传播...,定时启动)—后面三个线程链接服务器下载东西,根据指令进行不同操作; 否:启动病毒服务–设置键值–删除原病毒

63700

CryptoShield勒索病毒分析

这篇文章主要分析一下Cryptoshield,来自于RITEST RIG EK的一个勒索病毒。...病毒样本可以从这里得到: http://www.malware-traffic-analysis.net/2017/01/31/index2.html 首先,给病毒脱壳。...猜测应该是payload,后面分析验证了这个猜测。 ? 将这部分内容存储起来,然后在IDA中打开进行分析。 ? 在最初,我们可以看到两个函数 sub_402A10 和sub_402980。...分析一下大致的算法就是,把每个字母的ascii值乘以128然后加下一个字母,一直循环下去。所以我的用户名’sam’就得到了1CF0ED。...这是病毒用来永驻系统的。它复制了自身,并且通过设置注册表来达到这个目的。看下注册表的改变。 ? 好了,我们继续。 ? 我划了红线那个函数就是加密函数了。双击进入。 ? 这个病毒检测了磁盘的类型。

1.2K60

木马病毒分析

一、病毒简介这款木马从恶意网址下载东西,然后修改本地文件;SHA256:4354970ccc7cd6bb16318f132c34f6a1b3d5c2ea7ff53e1c9271905527f2db07MD5...:56b2c3810dba2e939a8bb9fa36d3cf96SHA1:99ee31cd4b0d6a4b62779da36e0eeecdd80589fc二、行为分析首先看看微步云沙箱分析:恶意服务器网址...三、静态分析首先查壳:通过x32dbg脱壳:看到pushad,直接esp大法或者ctrl+f搜索popad,选择第一个:走到ret,进入OEP脱壳:注意一下OEP这里:接下来拖到IDA中,根据之前OEP...当然这次没有细致分析,大概知道病毒都是下载文件,然后遍历目录筛选后缀exe和rar的程序进行写入,因为是静态分析,所以细致东西并没有发现,下次会结合动态分析更加详细的分析一次。

29550

“勒索病毒”深度分析报告

病毒产业的黑色“生态链”完善,勒索事件频发的背后,依靠的都一套完整的原始病毒制造、病毒批量变形、病毒传播、最终变现的黑色“生态链”。...图1、病毒产业的黑色“生态链” 病毒的传播 病毒制造者通过病毒混淆器(Obfuscator)[1],在云端服务器批量生成病毒的不同变种,并通过以下手段进行传播: 1) 漏洞类传播 a....图2、病毒的生成和传播 这种批量生成变形病毒变种的模式,与传统的感染型病毒具有非常大的相似性,对“云查杀“有天然的免疫[2],其批量变形并传播的周期远远短于安全软件的”收集、分析、识别“的响应周期。...条件允许的话可以交给安全厂商分析附件内容; 案例分析 下面以近期我们根据用户反馈和现场收集到的“勒索病毒”HVM:Ransom/Tescrypt.a为例进行分析说明。...通过OllyDbg、x64dbg、Windbg等常规调试手段,也很容易陷入到病毒混淆器生成的深层次垃圾代码中,需要较高的逆向分析能力和极大的耐心才可能定位到病毒核心代码。

1.1K20

分享几个在线扫描病毒软件的网站

说明:很多人平常喜欢下一些破解软件,很多杀毒软件喜欢报毒,可文件本身却没有病毒,却又不想很折腾去下工具来检测,所以这里推荐几个可以在线扫描软件病毒的网站。...1、一款可疑文件分析服务, 通过各种知名反病毒引擎, 对您所上传的文件进行检测, 以判断文件是否被病毒, 蠕虫, 木马, 以及各类恶意软件感染。...https://www.virustotal.com/zh-cn/ 2、一个非盈利性的免费为广大网友服务的网站,它通过多种不同厂家提供的最新版本的病毒检测引擎对您上传的可疑文件进行在线扫描,并可以立刻将检测结果显示出来...http://virscan.org/ 3、一个免费服务的网站,可以让您同时使用几个反病毒程序进行扫描可疑文件,可以在同一时间提交多个文件扫描。...https://virusscan.jotti.org/ 4、可以检测某个网站是否有一些病毒挂马的网站 http://onlinelinkscan.com/

6.4K30

简单病毒样本分析

病毒样本分析分类 病毒样本分析大致分为两种,一种是行为分析,一种是逆向分析。...逆向分析主要是通过静态分析或者动态调试来查看病毒的反汇编代码,通过断点或者单步来观察病毒的内存数据、寄存器数据等相关内容。...行为分析可以快速的确定病毒的行为从而写出专杀工具,但是对于感染型的病毒是无法通过行为分析进行分析的,或者病毒需要某些触发条件才能执行相应的动作,这样因为系统环境的因素,也无法通过行为分析得到病毒的行为特征...实例演示 我们通过一个真实的病毒样本,进行一次逆向分析,希望可以对病毒分析的入门者有一定的帮助。 下载到样本后,放置到虚拟机中,虚拟机最好也处于断网情况,因为我们不确定病毒到底有哪些行为。...我们这里完整的分析了一个病毒,从我们分析的过程中可以看出,熟悉 Win32 API 和一些编程知识对于我们分析病毒是非常有帮助的。

1.9K20

熊猫烧香病毒分析报告

通过139和445端口感染局域网的其他机器 设置定时器,每隔一段时间执行恶意行为 从指定网站下载数据包 1.2 测试环境及工具 测试环境:Windows 7 32位 工具:火绒剑,IDA,OD 1.3 分析目标...找到病毒行为的具体实现代码,了解病毒行为的具体实现原理,知道病毒对机器的执行具体行为,进一步评估病毒对于宿主机器的威胁程度。...2.具体行为分析 2.1 恶意程序的功能框架 第一部分: 第二部分: 第三部分: 2.2 恶意程序的主要行为以及对用户的危害 (1)遍历进程、线程、模块和堆 (2)检测杀毒软件 病毒会检测当时比较流行的一些杀毒软件...各个杀毒软件的可执行程序名称 (3)删除杀毒软件在注册表中的值 通过火绒剑能观察到病毒每隔一段时间就有检测并且删除杀毒软件在注册表中的自启动选项。...3.解决方案 3.1 提取病毒的特征,利用杀毒软件查杀 病毒特征: 字符串: ***武*汉*男*生*感*染*下*载*者*** Whboy 3.2 手工查杀步骤 (1)结束进程spo0lsv.exe,可通过

1.7K10

你真的了解病毒分析吗?反病毒专家深度揭密

事实上很多人对恶意样本分析这项工作或技能可能并不是太了解,国内一般招人就叫病毒分析工程师什么的,事实上国外统称为恶意样本分析,因为这样更准确一点,恶意样本包含病毒,或不仅仅是病毒病毒只是恶意样本的一个种类吧了...大多数开发其实是没有逆向能力的,他们往往对开发比较熟悉或者对产品架构比较了解,对病毒样本并不清楚,这个时候就需要专业的病毒分析人员了,由专业的病毒分析人员对样本进行详细分析,然后给出相应的解决方案,然后协助开发人员进行专杀工具的开发和测试...当时安全公司的病毒分析人员的工作就是流行病毒分析与处理,然后提取病毒规则,如果一家安全公司没有病毒分析人员,我不知道它是怎么做终端安全软件的,所以在传统的安全公司恶意样本分析人员是必不可少的,也是非常重要的一个岗位...之前我在一个安全博客网站上看到过一篇文章,好像叫十分钟学会恶意样本分析,后面我在星球写也一篇文章《恶意样本在线分析网站,你想要的都在这里》,帮助一些没有安全分析能力的朋友快速分析样本,也是为了可以让一些没有安全分析能力的安全应急响应人员和安全服务人员对病毒分析有一些简单的了解...为啥一定要深入的研究和学习,因为这些在线分析网站并不能解决所有的恶意样本了,大多数高端的样本都可以轻松的躲避到这些在线分析网站,如果这些在线分析网站能解决所有的样本分析工作了,那还需要恶意样本分析人员做什么

1.8K30

XiaoBa勒索病毒变种分析简报

概述 XiaoBa勒索病毒,是一种新型电脑病毒,是一款国产化水平极高的勒索病毒,主要以邮件,程序木马,网页挂马的形式进行传播。...这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。倒计时200秒还不缴赎金,被加密的文件就会被全部销毁。...以上说明摘自百度百科,但是我分析的这个XiaoBa变种并没有以上行为特征,不过它拥有很强的隐蔽性和感染性,并且具有文件加密,文件删除和挖矿三项主要功能。...样本分析 此样本经过微步云沙箱分析(相关链接请参见《参考链接》),确认为恶意样本 ? 行为简图 ? 权限调整 样本运行之后,首先调整进程权限,确保自己有足够的权限进行后续的操作 ?...创建文件夹RECYCLER\S-5-4-62-7581032776-5377505530-562822366-6588,并且将自身文件拷贝进来重写hosts文件,重定向安全厂商网址 正题 最后创建线程,在线程函数中

75820

Satan变种病毒分析处置手册

该蠕虫病毒进入系统后无明显破坏行为,仅传播自身。 2018年11月底,国内多个金融客户感染了跨平台的勒索病毒,该病毒是上述蠕虫FT.exe的变种版本,病毒会释放门罗币挖矿程序和勒索软件。...SEE MORE → 2病毒分析 1 传播方式 Satan病毒家族通过下面8种通用漏洞进行传播。目前发现Satan在linux平台会进行内部IP遍历+端口列表的方式进行漏洞扫描。...4 病毒行为 由于此次Satan变种病毒可以在Linux和Windows跨平台传播,所以需要对病毒行为进行分别分析。...分析时样本产生的网络行为。 ? 如果发现可用的IP与端口,则尝试进行触发漏洞。...因此如能在样本完成加密后第一时间对物理内存进行取证分析,即可从物理内存中提取出密钥字符串对加密文件进行解密。

1.5K20
领券