spo0lsv病毒分析
1.样本概况
1.1 样本信息
病毒名称:spo0lsv.exe
所属家族:Worm
MD5值:512301C535C88255C9A252FDF70B7A03
SHA1值:CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870
CRC32:E334747C
文件大小:30001bytes
壳信息:FSG 2.0
病毒行为:复制自身、感染PE文件、覆写PE文件、修改注册表自启动、枚举进程、结束杀软进程、删除安全软件相关启动项
1.2 测试环境及工具
Win7、PEID、火绒剑、x64dbg、OD、IDA、010Editor、PCHunter、Hash
1.3 分析目标
分析病毒的恶意行为,通过恶意代码梳理感染逻辑,编写查杀修复工具。
2.具体行为分析
2.1 主要行为
病毒的主要行为分三部分:
第一部分(自我复制执行)
第二部分(感染部分)
第三部分(病毒自我保护)
2.1.1 恶意程序对用户造成的危害(图)
1、病毒复制自身到:C:\Windows\System32\drivers\spo0lsv.exe并启动
2、每个目录下创建Desktop_.ini文件,并隐藏;
3、每盘符根目录创建autorn.inf、setup.exe文件并隐藏,setup.exe设置为自启动;
4、感染后缀位exe scr pif com文件和后缀为htm html asp php jsp aspx文件;
5、设置注册表键值得,svcshare项设置自启动;
6、连接局域网中其他计算机;
2.2 恶意代码分析
2.1 病毒OEP代码执行过程分析
2.2 病毒释放和运行分析
2.3 病毒感染分析
2.3.1 全盘感染
删除.GHO文件
感染后缀位.exe .scr .pif .com文件
感染后缀为htm html asp php jsp aspx文件
2.3.2 定时器感染
2.3.2 局域网感染
2.4 病毒自我保护分析
2.4.1 定时器1回调函数sub_40CEE4
设置病毒自启动,设置无法开启显示隐藏文件;
2.4.2 定时器2回调函数sub_40D040
2.4.3 定时器3回调函数sub_40D048
2.4.4 定时器4回调函数sub_407430
2.4.5 定时器5回调函数sub_40CC4C
2.4.6 定时器6回调函数sub_40C728
3.解决方案(或总结)
3.1 提取病毒的特征,利用杀毒软件查杀
网络ip:
字符串:WhBoy
3.2 手工查杀步骤或是工具查杀步骤或是查杀思路等。
1、关闭spo0lsv.exe进程,删除C:\Windows\System32\drivers\spcolsv.exe
2、删除HKEY\Software\Microsoft\Window\CurrentVersion\Run中自启动项svcshare
3、显示隐藏文件,设置HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
\Advanced\Folder\Hidden\SHOWALL中CheckedValue键值设置为1
4、删除每个盘符根目录中的autorun.inf和setup.exe及目录中的隐藏文件Desktop_.inii
spo0lsv病毒分析的更多相关文章
- 【病毒分析】对一个vbs脚本病毒的分析
[病毒分析]对一个vbs脚本病毒的分析 本文来源:i春秋社区-分享你的技术,为安全加点温度 一.前言 病毒课老师丢给我们一份加密过的vbs脚本病毒的代码去尝试分析,这里把分析过程发出来,供大家参考,如 ...
- [FreeBuff]Trojan.Miner.gbq挖矿病毒分析报告
Trojan.Miner.gbq挖矿病毒分析报告 https://www.freebuf.com/articles/network/196594.html 竟然还有端口转发... 这哥们.. 江民安全 ...
- 一份通过IPC$和lpk.dll感染方式的病毒分析报告
样本来自52pojie论坛,从事过两年渗透开始学病毒分析后看到IPC$真是再熟悉不过. 1.样本概况 1.1 样本信息 病毒名称:3601.exe MD5值:96043b8dcc7a977b16a28 ...
- 小技巧——病毒分析中关闭ASLR
原文来自:https://bbs.ichunqiu.com/thread-41359-1-1.html 病毒分析中关闭ASLR 分析病毒的时候,尽可能用自己比较熟悉的平台,这样可以大大地节省时间,像我 ...
- Virut.ce-感染型病毒分析报告
1.样本概况 病毒名称 Virus.Win32.Virut.ce MD5 6A500B42FC27CC5546079138370C492F 文件大小 131 KB (134,144 字节) 壳信息 无 ...
- QQ链接病毒分析
QQ链接病毒分析 特征 点击病毒链接后,自动会在每一时刻范围内通过所有途径群发新的病毒链接(途径包括Qzone,群聊等) 分析 首先看一下病毒链接的一个样例 http://news.soso.com/ ...
- 病毒分析(三)-利用Process Monitor对熊猫烧香病毒进行行为分析
前两次随笔我介绍了手动查杀病毒的步骤,然而仅通过手动查杀根本无法仔细了解病毒样本的行为,这次我们结合Process Monitor进行动态的行为分析. Process Monitor Process ...
- Ramnit蠕虫病毒分析和查杀
Ramnit是一种蠕虫病毒.拥有多种传播方式,不仅可以通过网页进行传播,还可以通过感染计算机内可执行文件进行传播.该病毒在2010年第一次被安全研究者发现,从网络威胁监控中可以看出目前仍然有大量的主机 ...
- PE文件附加数据感染之Worm.Win32.Agent.ayd病毒分析
一.基本信息 样本名称:1q8JRgwDeGMofs.exe 病毒名称:Worm.Win32.Agent.ayd 文件大小:165384 字节 文件MD5:7EF5D0028997CB7DD3484A ...
随机推荐
- Linux命令:pushd
语法 pushd [-n] [+N | -N | dir] 更改新目录并(或)压栈,或者把栈里的某个目录推到栈顶. 说明 pushd dir # 切换到目标目录dir,并将dir压栈. pushd # ...
- Windows终端工具_MobaXterm
前言 有人喜欢小而美的工具,有人喜欢大集成工具.这里推荐一款增强型的Windows终端工具MobaXterm,它提供所有重要的远程网络工具(SSH,X11,RDP,VNC,FTP,MOSH ..... ...
- [Kafka] |FAIL|rdkafka#producer-1 : Receive failed: Disconnected
Why am I seeing Receive failed: Disconnected? 1. broker 的空闲连接回收器关闭不活跃连接. 由 broker 的配置属性 connections. ...
- 本地jar包添加至Maven仓库
Maven命令将本地的jar包方放到maven仓库中 //自定义本地的jar包在pom文件的参数 <dependency> <groupId>com.eee</group ...
- 服务主机superFetch占用磁盘过多
有用户升级到Win10系统后,发现系统运行不快,查看任务管理器中正在运行的进程,然后查看到有一个名称为“服务主机:本地系统(网络受限)”的进程的磁盘占用率很高.如果想要解决这个问题,那么不妨参考下面介 ...
- 2019/2/11 LinuxRPM包管理
一.RPM安装包管理: a.yum install …… , yum remove ……, yum update …… , b.只下载安装包而不安装:yum install -y 包名 - ...
- vue-lazyload 图片依赖加载
一. vue lazyload插件: 插件地址:https://github.com/hilongjw/vue-lazyload (点击里面的demo进入可以查看使用代码 https://git ...
- 项目(一)ftp搭建
FTP服务 FTP两种模式: 主动模式服务器向客户端敲门,然后客户端开门 被动模式客户端向服务器敲门,然后服务器开门 传输模式:可以是文本模式,也可以是二进制模式,二进制模式更适合传输图片等非文本字符 ...
- html入门第二天。
二·1.图片与多媒体:-------------- img标签(重中之重): 网页中的图片展示就是用的img标签实现,img元素相网页中嵌入一幅图形,行内标签,单标签. 基础语句:<img sr ...
- 记录-eureka
我的工程目录是这样的: eureka- server:服务端 EurekaServerApplication的内容: 服务端配置文件内容: eureka-server :服务端 pom 文件: < ...