iLivid感染/ iLivid行为分析

Question

虽然很多恶意软件分析器已经在iLivid上做了很多调查和报告，但是我决定独立于以前的研究来检查iLivid。

我读过很多关于iLivid的报告，但是当我开始调查时，我从iLivid的官方域iLivid.com下载了iLivid。因此，根据我的观察，我有以下几个问题：

1)我从报告中没有看到任何恶意行为，例如:浏览器劫持、更改DNS设置、更改主页、安装附加组件、.主要是我可以说我没有看到任何恶意行为。因此，我猜想可能iLivid的官方领域版本和用户通过巧妙的虚拟链接感染的版本之间有区别。也许前者是安全的，后者是恶意的。这是可能的，也是合理的猜测吗？

主要问题:如果有安全和不安全的iLivid版本，我如何用iLivid感染我的系统？！！

2)恶意软件的行为会因上下文不同而不同吗？因为当我观察到报告时，人们报告了各种各样的坏工作。

3) iLivid将自己介绍为Banadoo媒体公司的产品，还有其他一些应用将自己介绍为该公司的产品。我没有发现这家公司的任何情况。在报告中，这家公司的所有应用程序都是声名狼藉和可疑的。我认为这只是名义上的公司，你对这家公司了解些什么吗？

4)运行巴比伦和IDM.exe时，iLivid运行iLivid时，有两个无关的.dll模块，一个来自巴比伦，一个来自Captlib.dll，另一个来自IDM.exe，后者是dmmkb.dll。我不知道如何分析这种行为。如果可以的话请帮忙！

Answer 1

有几个网站将iLivid归类为幼犬，而不是彻底的恶意软件。该定义部分内容如下：

这种软件可能使用的实现可能会损害隐私或削弱计算机的安全性。公司通常将想要的程序下载与包装应用程序捆绑在一起，并且可能会提供安装一个不想要的应用程序，在某些情况下也不会提供明确的选择退出方法。

你的声明“我可以说我没有看到任何恶意行为。”这似乎很不寻常--我发现了2016年末的一些报告，表明主页重定向和工具栏安装是意料之中的。

报告还显示，众所周知，iLivid中有一个键盘记录器被删除，而你提到的Captlib.dll发现似乎暗示了这一点发生在你的系统上--可能就在你安装的时候，iLivid专注于隐形(尽管考虑到他们与广告相关的收入模式，这似乎有点不寻常)。

如果我是您，我想我会考虑运行数据包捕获，查找自动活动，特别是C&C/exfiltration活动。您可能会发现，使用布谷鸟沙盒这样的东西进行第一次运行是最容易的，这是一种测试您是否能够复制最初引起您好奇的报告的方法。