- 综合排序
- 最热优先
- 最新优先
- 来自专栏全栈程序员必看
病毒分析四:steam盗号病毒
三、样本信息 MD5值:a835a69b4ef12a255d3d5b8c5d3f721c SHA1值:201566a7f058d8147bb29486a59151fc7240d04f CRC32校验码 : eb6e36f1 四、样本分析 1)、运行后,样本会进行几个注册表的操作,主要为以下操作 然后创建文件waxe.exe,写入数据到文件里,文件里的数据都在只读数据段,0x0047D5A4开始,大小为 到这一步为止,病毒一直在移动自己的位置,并不断启动新进程。目的是隐藏自己。在新的进程里,病毒开始执行盗号逻辑。 结合原先病毒的传播方式,大概率会找到此进程。 然后通过地址为0x430C40的函数,搜索注册表,找到steam路径。 QQkey盗号,接着通过qq邮箱改steam密码 向远处服务器请求,获取到pt_local_token参数 带着` pt_local_token`,对本地端口进行请求,获取所有账号信息 for循环分析每个账号信息
3.7K30编辑于 2022-09-19 - 来自专栏极安御信安全研究院
病毒丨熊猫烧香病毒分析
作者丨黑蛋一、病毒简介病毒名称:熊猫烧香文件名称:40fee2a4be91d9d46cc133328ed41a3bdf9099be5084efbc95c8d0535ecee496文件格式:EXEx86文件类型 :n/apeHashNG:ee0d0b18b39a36cf914131c260b08a27cd71a31b3be9a72d3ef7768cac57aec0impfuzzy:3:swBJAEPwS9KTXzW section_name_exception,lang_chinese,timestamp_exception二、环境准备虚拟机调试器安全软件Win7x86x32dbg、OD火绒剑三、程序脱壳首先修改病毒后缀为 exe拖到IDA中,从start开始分析,F5反汇编:首先前面一坨都是一些变量赋值等操作,重点在以下三个函数:5.1、sub_40819C分析通过对函数内部分析,猜测加分析,对部分函数命名,以及对部分变量直接赋予字符串 5.3.6、第六个计时器首先跟进箭头函数,可以看到是一些网络操作,读取创建等操作:返回上一步向下看,同样是一些下载东西,创建文件,然后启动等操作:六、总结此病毒是加了一个壳,然后需要脱壳修复IAT表,
5.7K30编辑于 2023-03-31 - 来自专栏极安御信安全研究院
骷髅病毒分析
一、病毒信息 病毒名称:骷髅病毒 文件名称: d5dac2456fa6758480e946aa6a1597399bf0b9e7df1383c7ba568559b969a827 文件格式: EXEx86 4A58C42F188D69E5EC03A22F02C0C9AB8D6B8D0B39C01DD7CA05DD97074509A2 peHashNG: 15fe9808e4c7996169d2f7d72ab94995e16510faac3b23d090f9c6ccbcceaa0f 四、行为分析 首先我们需要将病毒样本加入火绒软件信任区,让火绒不要干扰病毒程序运行,接下来打开火绒剑: 点击开始监控,然后双击运行骷髅病毒,首先可以看到骷髅病毒本体已经不见: 接下来进行过滤: 五、静态分析 把脱壳后的1.exe拖入Ida,找到WInMain,F5: 这是主函数,相应注释都在上面: 然后进入sub_405A52(),就是简单判断自己创建服务是否已经被创建,服务名称是15654656 回到上一层,继续往下看,生成随机名称,拷贝自身在Windows目录下: 接下来就是对服务的创建启动等操作: 最后来到sub_40355B: 跟进去,可以看到这是一个删除文件函数,根据之前的行为分析
94710编辑于 2023-03-15 - 来自专栏全栈程序员必看
挖矿病毒分析
病毒样本 分析样本 要求 确定二进制文件类型 给出钱包地址的 IOC 特征 文件类型:PE64 脱壳 upx.exe -d svhostd.jpg.virus 钱包地址的 IOC 特征 云沙箱自动分析 发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/130081.html原文链接:https://javaforall.cn
1.4K10编辑于 2022-08-10 - 来自专栏极安御信安全研究院
病毒丨3601lpk劫持病毒分析
一、病毒简介 文件名称: 1f3e836b4677a6df2c2d34d3c6413df2c5e448b5bc1d5702f2a96a7f6ca0d7fb 文件类型(Magic): PE32 executable (GUI) Intel 80386, for MS Windows 文件大小: 52.50KB SHA256: 1f3e836b4677a6df2c2d34d3c6413df2c5e448b5bc1d5702f2a96a7f6ca0d7fb QfvoyXXQkZuzQE98Fs+UwMVdPG42EmAjE/yQd07d21a1Xxu0HfqaWF6i5XcojY9U:QfvoyXgkAP2EFjtQd07k1sXPHijmU ImpHash: bdd8c968182d3c29007cb3a7a7e8fe4c 二、环境准备 系统 win7x86 三、行为分析 接下来借助火绒剑查看一下行为。 五、hra33.dll分析 看完病毒体,我们再看一下关键dll–>hra33.dll,直接在c:\windows\system32下找到hra33.dll,拖入IDA中分析,直接在主函数处F5: 5.1
1.1K00编辑于 2023-04-11 - 来自专栏极安御信安全研究院
病毒分析丨一款注入病毒
作者丨黑蛋一、病毒简介SHA256:de2a83f256ef821a5e9a806254bf77e4508eb5137c70ee55ec94695029f80e45MD5:6e4b0a001c493f0fcf8c5e9020958f38SHA1 四、调试分析由于其中有很多需要解密部分,所以这次动静结合分析。
1.1K20编辑于 2023-06-01 - 来自专栏信安之路
Sodinokibi 病毒分析报告
反沙箱技术 该样本在运行初期,会调用 2 次 SetErrorMode 函数,通常我们分析病毒的时候,都是直接就跳过了,并没有往里面深入多想。但这却能成为反沙箱的技术手段。 ? 最后修改其标志位可以让沙箱正常把病毒跑起来了。 GandCrab5.2 和他的继承者 Sodinokibi 都使用了此反沙箱的技术手段。 病毒分析 往下的病毒分析主要就是写分析流程了,当时外网发布的那篇分析文章就十分之详细 样本是个伪装成 PDF 文件的 .exe 程序,拖入 IDA 静态分析在函数列表找到 wWinMain 入口函数 先做了恶意代码运行前的前期铺垫工作 恶意程序刚执行时,会为程序创建互斥体防止多开: Global\FDC9FA6E-8257-3E98-2600-E72145612F09 ? ? 据其病毒家族中的成员行为分析,其中配置文件中如果“exp”字段为“true”,则使用漏洞 CVE-2018-8453 通过提升特权执行 32 位或 64 位 shell,但此分析的版本字段为 false
2K30发布于 2019-09-25 - 来自专栏FreeBuf
Mydoom蠕虫病毒分析
a3006cc68638ab4fc24f092bf6563291f2e237fe4e86159a08bb5443d499828d 壳类型 UPX 家族 Mydoom 传播方式 邮件 主流程图 主程序 病毒使用 upx壳加密,先使用工具或手动脱壳 病毒先初始化套接字和线程ID便进入主函数: 在主函数中,判断注册表的shell键值是否存在,不存在则创建: 接着在临时目录或系统目录下释放一个动态库并加载运行 继续主线程往下分析,样本会打开c盘根目录下的init文件,读取里面的文件,但我主机上没有此文件,对于他要做啥也是不明所以。 Aigu.dll分析 此文件依旧是使用upx加壳,脱壳后发现函数并不多,主函数逻辑也比较简单: 样本会开启本地的1080端口等待服务端的连接: 一旦连接成功,便创建线程。 分析过程中没有连接成功,只能通过静态分析猜测,服务端会发送命令过来,然后病毒根据不同的命令执行不同的动作: 同时病毒还有关闭杀软的操作: 总结 随着技术的迭代更新,攻击者的伪装技术也随之发展
94920编辑于 2023-04-18 - 来自专栏极安御信安全研究院
病毒分析丨plubx
archive data, v5文件大小157.74KBSHA25600fbfaf36114d3ff9e2c43885341f1c02fade82b49d1cf451bc756d992c84b06SHA11c251974b2e6f110d96af5b23ad036954ba15e4eMD5c1c9624b21f71e4565b941a37db3815aCRC3259832D3DSSDEEP3072 :图1:图2:图3:图4可以看到主要是释放了三个资源,一个自身exe,一个dat文件,一个dll。 四、静态分析exe没有什么东西,很简单一个加载dll,然后调用run函数:分析dll,直接搜索run,找到run跟进去到了sub_10001BF0:接下来是一部分代码注释:最后return的函数里面是一个 接下来有三个case,直接看注释:case1:case2:sub_100153A0():case3:五、总结很简单的一次分析,基本所有函数都不需要自行猜测,都是通过GetProcAddress函数获取, 所以没有太详细分析,修改了函数名。
40030编辑于 2023-05-25 - 来自专栏极安御信安全研究院
木马病毒分析
一、病毒简介这款木马从恶意网址下载东西,然后修改本地文件;SHA256:4354970ccc7cd6bb16318f132c34f6a1b3d5c2ea7ff53e1c9271905527f2db07MD5 :56b2c3810dba2e939a8bb9fa36d3cf96SHA1:99ee31cd4b0d6a4b62779da36e0eeecdd80589fc二、行为分析首先看看微步云沙箱分析:恶意服务器网址 三、静态分析首先查壳:通过x32dbg脱壳:看到pushad,直接esp大法或者ctrl+f搜索popad,选择第一个:走到ret,进入OEP脱壳:注意一下OEP这里:接下来拖到IDA中,根据之前OEP 当然这次没有细致分析,大概知道病毒都是下载文件,然后遍历目录筛选后缀exe和rar的程序进行写入,因为是静态分析,所以细致东西并没有发现,下次会结合动态分析更加详细的分析一次。
1.8K50编辑于 2023-08-24 - 来自专栏逆向技术
病毒分析第二讲,分析病毒的主要功能
病毒分析第二讲,分析病毒的主要功能 经过昨天病毒分析第一讲,得出一个被注入的DLL 开始分析DLL主要功能 PS: IDA中,DLL会有各种初始化的代码,和释放资源,所以不再看 ,只看重要的API 一丶行为分析(创建命名互斥体,防止病毒多开) ? 进入函数去看,从DLLmain入口点分析. ? 得出,第一步,病毒为了防止重复注入IE,创建命名互斥体. 根据分析,可以分为四部分去看 1.初始化各种数据 2.经过一些列自己写的算法运算 3.获取磁盘和驱动器的信息,并且处理文件 4.写入系统时间(需要跟随大里面去看) 虚拟机动态调试查看. ? 设置的快捷键是 Ctrl + * 键 3.进入Call查看 ? 4.查看注册表操作 ?
1.3K50发布于 2018-01-08 - 来自专栏ChaMd5安全团队
CryptoShield勒索病毒分析
这篇文章主要分析一下Cryptoshield,来自于RITEST RIG EK的一个勒索病毒。 病毒样本可以从这里得到: http://www.malware-traffic-analysis.net/2017/01/31/index2.html 首先,给病毒脱壳。 猜测应该是payload,后面分析验证了这个猜测。 ? 将这部分内容存储起来,然后在IDA中打开进行分析。 ? 在最初,我们可以看到两个函数 sub_402A10 和sub_402980。 分析一下大致的算法就是,把每个字母的ascii值乘以128然后加下一个字母,一直循环下去。所以我的用户名’sam’就得到了1CF0ED。 这是病毒用来永驻系统的。它复制了自身,并且通过设置注册表来达到这个目的。看下注册表的改变。 ? 好了,我们继续。 ? 我划了红线那个函数就是加密函数了。双击进入。 ? 这个病毒检测了磁盘的类型。
1.5K60发布于 2018-03-29 - 来自专栏生信菜鸟团
新冠病毒的基因序列分析(3):文章分析重现part1
经过上一期的文章的介绍,我们了解了新冠病毒和SRAS病毒还有其它病毒的相似性。我们对新冠病毒的认识又有了进一步的认识。下面我们就尝试对一些已经发表的文章,进行一些分析重现。 环境安装和工具下载 磨刀不误砍柴工,在进行任何分析前,我们都应当构建与之所需工具对应的环境。另外这也是咱们可进行可重复生信分析重要的一步。 3行 head -3 raw/MN908947.fa ###结果 >MN908947.3 Severe acute respiratory syndrome coronavirus 2 isolate -outfmt 7 -query raw/MN908947.fa -db db/coronavirus_20200301 > result/MN908947_blast.txt 使用一个本地的脚本来分析 acute respiratory syndrome coronavirus 2 isolate WIV04, complete genome MT019529.1 29899 99.990 3
2.3K10发布于 2020-05-26 - 来自专栏deed博客
文件夹病毒分析
0078540e071161ec7f14a80a462e775d6981c804 文件大小:148KB 创建时间:2013-02-19 13:01:38 文件类型:EXE 火眼点评 疑似伪装文件夹病毒 ;设置文件属性;查找文件;拷贝自身到其他目录;创建互斥体 新毒霸点评 经新毒霸云安全中心分析,该文件存在病毒,请及时删除! 危险行为监控 行为描述:疑似伪装文件夹病毒 附加信息: %USERPROFILE%Local SettingsApplication DataStartupdate.exe
1.5K40发布于 2018-06-05 - 来自专栏全栈程序员必看
熊猫烧香病毒分析报告
1.样本概况 1.1 样本信息 (1)病毒名称:spo0lsv.exe (2)所属家族:熊猫烧香 (3)MD5值:B8F8E75C9E77743A61BBEA9CCBCFFD5D (4)SHA1值:188FC8FC580C0EA4BF8A8900A3D36471823C8923 (5)CRC32:E63D45D3 (6)病毒行为: 复制自身到系统目录下 设置文件属性为隐藏,并且让用户无法查看隐藏文件 修改注册表 修改启动项,开机自启动 修改PE文件 覆写PE文件 检测杀毒软件 2.具体行为分析 2.1 恶意程序的功能框架 第一部分: 第二部分: 第三部分: 2.2 恶意程序的主要行为以及对用户的危害 (1)遍历进程、线程、模块和堆 (2)检测杀毒软件 病毒会检测当时比较流行的一些杀毒软件 各个杀毒软件的可执行程序名称 (3)删除杀毒软件在注册表中的值 通过火绒剑能观察到病毒每隔一段时间就有检测并且删除杀毒软件在注册表中的自启动选项。 3.解决方案 3.1 提取病毒的特征,利用杀毒软件查杀 病毒特征: 字符串: ***武*汉*男*生*感*染*下*载*者*** Whboy 3.2 手工查杀步骤 (1)结束进程spo0lsv.exe,可通过
2.8K10编辑于 2022-11-01 - 来自专栏码农UP2U
简单病毒样本分析
病毒样本分析分类 病毒样本分析大致分为两种,一种是行为分析,一种是逆向分析。 逆向分析主要是通过静态分析或者动态调试来查看病毒的反汇编代码,通过断点或者单步来观察病毒的内存数据、寄存器数据等相关内容。 行为分析可以快速的确定病毒的行为从而写出专杀工具,但是对于感染型的病毒是无法通过行为分析进行分析的,或者病毒需要某些触发条件才能执行相应的动作,这样因为系统环境的因素,也无法通过行为分析得到病毒的行为特征 实例演示 我们通过一个真实的病毒样本,进行一次逆向分析,希望可以对病毒分析的入门者有一定的帮助。 下载到样本后,放置到虚拟机中,虚拟机最好也处于断网情况,因为我们不确定病毒到底有哪些行为。 我们这里完整的分析了一个病毒,从我们分析的过程中可以看出,熟悉 Win32 API 和一些编程知识对于我们分析病毒是非常有帮助的。
2.6K20发布于 2020-08-26 - 来自专栏FreeBuf
你真的了解病毒分析吗?反病毒专家深度揭密
事实上很多人对恶意样本分析这项工作或技能可能并不是太了解,国内一般招人就叫病毒分析工程师什么的,事实上国外统称为恶意样本分析,因为这样更准确一点,恶意样本包含病毒,或不仅仅是病毒,病毒只是恶意样本的一个种类吧了 在TO C的时候,大家拼的是客户端安装量,也就是用户量,360以前最高的时候的用户听说达到几个亿,这也就是为啥它后面敢和腾讯叫板的原因,也就是大家都知道的3Q大战,同样你看看现在的今日头条,也是一样的, 大多数开发其实是没有逆向能力的,他们往往对开发比较熟悉或者对产品架构比较了解,对病毒样本并不清楚,这个时候就需要专业的病毒分析人员了,由专业的病毒分析人员对样本进行详细分析,然后给出相应的解决方案,然后协助开发人员进行专杀工具的开发和测试 当时安全公司的病毒分析人员的工作就是流行病毒的分析与处理,然后提取病毒规则,如果一家安全公司没有病毒分析人员,我不知道它是怎么做终端安全软件的,所以在传统的安全公司恶意样本分析人员是必不可少的,也是非常重要的一个岗位 3.实战实战实战 通过上面的学习基本的方法和技能都已经掌握了,后期主要就是不断的实战,去分析各种不同类型的病毒样本,了解各处不同病毒样本的原理,包含:蠕虫病毒、感染型病毒、勒索病毒、挖矿病毒、下载器、盗号木马后门
2.5K30发布于 2019-07-22 - 来自专栏极安御信安全研究院
远控木马病毒分析
一、病毒简介SHA256:880a402919ba4e896f6b4b2595ecb7c06c987b025af73494342584aaa84544a1MD5:0902b9ff0eae8584921f70d12ae7b391SHA1 :f71b9183e035e7f0039961b0ac750010808ebb01二、行为分析同样在我们win7虚拟机中,使用火绒剑进行监控,分析行为特征:首先是一个拷贝自身,而在后面也被行为检测标蓝; 三、逆向分析拖进DIE查查壳,显示无壳:看看导入表信息:这里有检索主机信息之类的函数,还有网络链接之类的函数,基本可以确定大致行为,结合这里,在IDA中静态分析,进入winmain,F5看伪代码:以上就是 rundll32.exe,进入此函数:可以看到这里是进程遍历,返回进程信息,回到上一层:这里是启动命令行杀掉rundll32.exe,返回主函数;3.4、sub_4070E0进入函数内部:可以看到这里是设置病毒为服务并设置相关注册表版本类信息 ;3.5、sub-407660这里是循环三次,找病毒本体,通过函数40766寻找,找到后进行启动,进入函数内部:这里是创建快照找相应进程的操作,而传入的参数就是Terms.exe;3.6、sub_405480
1.1K21编辑于 2023-08-24 - 来自专栏绿盟科技安全情报
Satan变种病毒分析处置手册
SEE MORE → 2病毒分析 1 传播方式 Satan病毒家族通过下面8种通用漏洞进行传播。目前发现Satan在linux平台会进行内部IP遍历+端口列表的方式进行漏洞扫描。 3 近期版本变更 V1.10 linux和windows跨平台的蠕虫病毒, 进入系统后无明显破坏行为,仅传播自身。 4 病毒行为 由于此次Satan变种病毒可以在Linux和Windows跨平台传播,所以需要对病毒行为进行分别分析。 分析时样本产生的网络行为。 ? 如果发现可用的IP与端口,则尝试进行触发漏洞。 3 文件解密 根据绿盟科技安全研究团队的研究结果,该勒索软件依赖于AES算法对文件进行加密,然而通过分析样本代码可以看出,样本内存在较严重的内存空间浪费和野指针问题,这一点在该家族的windows版本中尤为突出
2.1K20发布于 2019-10-24 - 来自专栏FreeBuf
XiaoBa勒索病毒变种分析简报
概述 XiaoBa勒索病毒,是一种新型电脑病毒,是一款国产化水平极高的勒索病毒,主要以邮件,程序木马,网页挂马的形式进行传播。 这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。倒计时200秒还不缴赎金,被加密的文件就会被全部销毁。 以上说明摘自百度百科,但是我分析的这个XiaoBa变种并没有以上行为特征,不过它拥有很强的隐蔽性和感染性,并且具有文件加密,文件删除和挖矿三项主要功能。 样本分析 此样本经过微步云沙箱分析(相关链接请参见《参考链接》),确认为恶意样本 ? 行为简图 ? 权限调整 样本运行之后,首先调整进程权限,确保自己有足够的权限进行后续的操作 ?
99020发布于 2018-07-30
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号