demon病毒样本分析】的更多相关文章

1. 简介 该样本是前几周爆发的THINKPHP漏洞中,被批量上传的一个病毒样本.如图所示. 2. 分析 该样本未经混淆,加壳,所以直接拖到IDA中即可分析. 首先从main函数开始.做一些初始化的函数,然后fork进程,父进程退出,子进程继续执行,推测是为了更好的迷惑. 如图 然后设置sid,更改病毒运行目录为根目录,设置信号.主要是忽略SIGPIPE信号,防止进程出错.参考 https://blog.csdn.net/qq_34888036/article/details/81014529…
一.前言 之前一个Wannacry病毒样本在PC端肆意了很久,就是RSA加密文件,勒索钱财.不给钱就删除.但是现在移动设备如此之多,就有一些不法分子想把这个病毒扩散到移动设备了,这几天一个哥们给了一个病毒样本,就抽空看了一下,下面就来分析一下这个病毒样本程序. 二.病毒样本分析 首先国际惯例,这类的病毒都是用一些特殊的app名称吸引诱导用户下载,这里是一个叫做:魅影WIFI,下载安装之后界面如下: 我们点击免费激活,出现授权界面: 需要设备管理器,这时候应该猜到了,他是想修改锁机密码,我们就授权…
locky勒索软件恶意样本分析1 1 locky勒索软件构成概述 前些时期爆发的Locky勒索软件病毒这边也拿到了一个样本,简要做如下分析.样本主要包含三个程序: A xx.js文件:Jscript脚本文件,以脚本形式存在主要用于邮件传播和方便免杀杀毒软件,用于联网下载PE1 B PE程序(PE1):外壳程序,主要负责解密内存load PE2. C PE程序(PE2):功能代码存在于该文件,主要负责和C&C服务器通讯获取加密密钥,遍历磁盘驱动器使用crypt系列windows函数对文件加密. P…
locky勒索软件恶意样本分析2 阿尔法实验室陈峰峰.胡进 前言 随着安全知识的普及,公民安全意识普遍提高了,恶意代码传播已经不局限于exe程序了,Locky敲诈者病毒就是其中之一,Locky敲诈者使用js进行传播,js负责下载外壳程序,外壳程序负责保护真正病毒样本,免除查杀.本文主要对Locky外壳程序和核心程序做了一个分析,来一起了解Locky代码自我保护的手段以及核心程序对文件加密勒索过程的分析. 一        样本基本信息 Js下载者:f16c46c917fa5012810dc35b…
(转自:一个U盘病毒简单分析 - 瑞星网   原文日期:2014.03.25) U盘这个移动存储设备由于体积小.容量大.便于携带等优点,给人们的存储数据带来了很大的便利.但正是由于这种便利,也给病毒有了可乘之机,你是否有过拿着U盘到外面打印照片,回来再使用U盘过程中,发现自己的电脑一下就中毒了的经历呢? U盘病毒对于局域网环境的企业来说也是一个很头疼的事情,由于员工随意插拔使用U盘,经常导致U盘病毒在企业局域网环境下肆意泛滥,给企业网管员带来了不小的麻烦.今天我们分析的这个U盘病毒,会将U盘上的…
一.基本信息 样本名称:Rub.EXE 样本大小:21504 字节 病毒名称:Trojan.Win32.Rootkit.hv 加壳情况:UPX(3.07) 样本MD5:035C1ADA4BACE78DD104CB0E1D184043 样本SHA1: BAD1CE555443FC43484E0FACF8B88EA8756F78CB 病毒文件的组成: 病毒母体文件Rub.EXE   MD5:035C1ADA4BACE78DD104CB0E1D184043 病毒母体释放的文件owwesc.exe(随机…
一.样本简介 样本来自于吾爱破解论坛链接地址为http://www.52pojie.cn/thread-410238-1-1.html,样本不是很复杂有空就分析了一下.Android病毒样本还是很有意思的,有需要分析的样本发到论坛分析分析. 二.样本信息 文件名称:10086.apk 文件大小:32117 byte 文件类型:application/jar 病毒名称:Android.SmsThief.BS MD5:c2cd6abcb62a8df958049acffa204392 SHA1:de9…
一.样本信息 文件名称: 一个安卓病毒木马.apk 文件大小:242867 byte 文件类型:application/jar 病毒名称:Android.Trojan.SMSSend.KS 样本MD5:05B009F8E6C30A1BC0A0F793049960BC 二.病毒行为分析 0x1. 静态注册Android系统的开机广播,对用户Android系统的开机广播进行监听,一旦用户的系统开机就运行病毒服务Tservice. 0x2. 服务Tservice的作用是 对用户短信的发送进行监听,一旦…
[病毒分析]对一个vbs脚本病毒的分析 本文来源:i春秋社区-分享你的技术,为安全加点温度 一.前言 病毒课老师丢给我们一份加密过的vbs脚本病毒的代码去尝试分析,这里把分析过程发出来,供大家参考,如果发现文中有什么错误或者是有啥建议,可以直接留言给我,谢谢! 二.目录 整个分析过程可以分为以下几个部分:   0x00 准备工作   0x01 解密部分   0x02 功能分析 三.分析过程0x00 准备工作windows xp的虚拟机(在自己的windows下也可以做)vbs的一些基本语法 0x…
背景 今天遇到一个JSONRPC的告警,怀疑挖矿木马,IOC是132.148.245.101,无其他信息,随即google一波. 查询网络 遇到了,主动下载样本分析,下载地址:http://rjj.qibaxia.com/ 运行后会有连接IOC的流量 确认 分析结构 本质是一个zip包,里面有很多东西,首先会打开lauch-installer安装程序,通过运行专用下载器执行script文件,文件利用curl下载sketch.AutoCAD.Betterzip.Moveist等常用mac os软件…
MS Office CVE-2015-1641 恶意 Exploit 样本分析 在对最近的一个恶意 MS Office 文档样本进行分析时,我们发现了一些有趣的特性.这个文档利用 CVE-2015-1641 来释放和执行一个名为 Troldesh 的勒索软件. 本文我们会先分析漏洞成因,随后分析攻击者是如何让恶意文档躲避检测的. RTF 文档 我们要分析的 RTF 文档哈希值为72b14306c9f95536d03d88cf63204f70630dd9cd00664ad7f86c1d774c85…
使用NB Exploit Kit攻击的APT样本分析 from:https://cloud.tencent.com/developer/article/1092136 1.起因 近期,安恒工程师在某网络中部署的APT威胁分析设备中发现一条高危告警,该告警包含了较多可疑行为,包含在沙箱运行环境中进行增加自启动.创建网络套接字连接.读取网络文件.收集磁盘信息.获取当前用户名信息等敏感内容,并通过对原始报文分析发现该样本的下载链接也存在较大的可疑性,经过对告警内容的初步分析,基本可以推测可能是一种网页…
一.基本信息 样本名称:hra33.dll或者lpk.dll 样本大小: 66560 字节 文件类型:Win32的dll文件 病毒名称:Dropped:Generic.ServStart.A3D47B3E 样本MD5:5B845C6FDB4903ED457B1447F4549CF0 样本SHA1:42E93156DBEB527F6CC104372449DC44BF477A03 这个样本文件是前面分析的Trojan木马病毒母体Rub.EXE释放到用户系统C:\WINDOWS\system32目录下…
http://blog.csdn.net/qq1084283172/article/details/49305827 一.样本信息 文件名称:803c617e665ff7e0318386e24df63038 文件大小:61KB 病毒名称:DDoS/Nitol.A.1562 MD5:803c617e665ff7e0318386e24df63038 Sha-1:e05277aafd161470b020e9e8d2aa2dcb9759328c 二.样本行为 0x1.打开与当前病毒进程文件同名的信号互斥…
前段时间收到locky样本,分析之后遂做一个分析. 样本如下所示,一般locky勒索的先决条件是一个js的脚本,脚本经过了复杂的混淆,主要用于下载该样本文件并运行,. 解密 样本本身进行了保护,通过ida打开之后只有少量几个函数,如下图所示为样本的入口地址,代码进行了重度的混淆加密.…
最近接手的一个样本,样本中使用了大量的xor加密,由于本身样本不全,无法运行(好吧我最稀饭的动态调试没了,样本很有意思,以后有时间做票大的分析),这个时候就只好拜托idapython大法了(当然用idc也一样),期间遇到几个问题,遂记录一番. 样本加密的字符如下,很简单,push压栈之后,反复调用sub_1000204D解密. 此时,要写脚本的话,我们希望这个脚本能够足够通用,通常样本中的加密都是由一个函数实现,函数本身实现解密,传入的参数通常是解密字符,和key两个参数(当然肯定也有其他的模式…
逆向分析 之后我们通过ida对该样本进行更深入的分析样本的main函数中,一开始会调用函数dec_conf对样本中的大量加密的字符串进行解密,如下图所示.…
样本行为 该样本为国庆期间接到的一个应急,发现为今年比较流行的xorddos,遂分析一番. 运行之后,查看进程,可以发现可疑进程ydxrooqtno,以及ppkzkneour. 多次运行发现除了ydxrooqtno之外,其余进程的id,名称一直在改变.…
1)场景 摩诃草组织(APT-C-09),又称HangOver.Patchwork.Dropping Elephant以及白象.该组织归属南亚某国,主要针对中国.巴基斯坦等亚洲国家和地区进行网络间谍活动,也逐渐将渗透目标蔓延至欧洲和中东等地. https://www.anquanke.com/post/id/160869#h2-0 2)问题难点 1.恶意代码分析提取出的哪些行为信息有助于分析组织的行为? 2.用什么工具进行分析判断通过样本自身的信息跟现有样本库关联分析判断为同一个组织? 3.如何…
0x01 前言 CVE-2010-2883 漏洞的成因是由于 CoolType.dll 这个动态链接库在解析 SING 表中的 uniqueName 这个项时没有对长度进行限制,导致使用 strcat 函数拼接字符串时造成了溢出 分析工具:OD.Immunity Debutter(基于 OD 的漏洞调试工具).PdfStreamDumper(PDF文档分析工具) 环境:Windows 7 家庭版(虚拟机).开启了 ASLR 和 DEP 保护 样本:触发漏洞的 PDF 文件(提取码:95h4,请在…
CVE-2013-1347 漏洞是典型的 IE 浏览器 UAF 漏洞,所以其利用方法和一般的 IE 浏览器漏洞的利用方法非常相似,所以流程大体上可以分为这些步骤:(1) 对象被释放 (2) 精确覆盖被释放对象的内存空间,更改 EIP 寄存器从而控制程序的流程 (3) 触发漏洞实现重引用 以下就是利用此漏洞的样本 <!doctype html> <HTML XMLNS:t ="urn:schemas-microsoft-com:time"> <head>…
文件检测 信息 值 文件名 1.virus 文件类型 WIN 32 EXE 文件大小 41664 bytes MD5 3d466b0f8ba9f3fe03e137a34d79f682 SHA-256 7c4d73c8c9e394a72cc0eeda7e3ce78340a23f40cb3f682c06715e948c09feca 加壳 upx 2.90 导入函数 通过导入表函数可以看出病毒有以下行为: 文件创建 线程注入 注册表修改 网络行为 动态行为分析 regshot创建注册表快照,同时监控程…
基本信息 对象 值 文件名 Photo.scr 文件类型 PE32 executable for MS Windows (GUI) Intel 80386 32-bit 文件大小 6271259 bytes MD5 a20727b81b50a20483ba59ae65443dfe SHA256 af94ddf7c35b9d9f016a5a4b232b43e071d59c6beb1560ba76df20df7b49ca4c 其它信息 \ 对象 值 文件名 HelpPane.exe 文件类型 PE3…
不久前收到的一个linux样本,之前linux平台下的样本见得并不多,正好做个记录. 样本启动之后,会将自身重命名拷贝到/usr/bin下,并删除自身,如此处就将自身文件amdhzbenfi命名为usnfpnglab. 运行中的样本进程.…
本人使用MacBooster 7 扫出了几个未知程序. JMJ56 这个程序. 在finder中打开发现是一个shell脚本 调用了python 9NKb0 就是python脚本使用.    只不过是编译之后的 pyc二进制文件. 使用 https://tool.lu/pyc/ 在线反编译工具, 将其反编译后,得到了如下代码: import zlib import base64 exec zlib.decompress(base64.b64decode('eJyVV+lz4rgS/85fQVG1…
  当前样本是一个RTF文档,内嵌一个公式编辑器对象,该对象利用Office编辑器漏洞CVE-2018-0798执行shellcode,对EQNEDT32.exe进行代码注入,执行恶意代码.   使用rtfobj查看文档结构,可以看到携带了3个OLE对象,但是id为1的对象并未被使用.   第二个是一个package对象,原路径为" C:\Users\n3o\AppData\Local\Microsoft\Windows\INetCache\Content.Word\wd32PrvSE.wmf&…
学编程又有材料了 http://blog.nsfocus.net/malware-sample-analysis-api/…
#!/usr/bin/env python import os import csv #import Queue import zipfile import requests import argparse import multiprocessing # TODO: Don't hardcode the relative path? samples_path = "gym_malware/envs/utils/samples/" hashes_path = "gym_mal…
Ramnit是一种蠕虫病毒.拥有多种传播方式,不仅可以通过网页进行传播,还可以通过感染计算机内可执行文件进行传播.该病毒在2010年第一次被安全研究者发现,从网络威胁监控中可以看出目前仍然有大量的主机感染该病毒,所以Ramnit依然是网络空间世界的重大威胁之一. Ramnit病毒可以监控网络访问活动等,可能导致网上银行交易等信息的泄露或盗取: 该病毒还可以扫描和浏览服务器中的文件系统,获取敏感的文件信息: 此外该病毒通过控制某台计算机可以作为攻击者的跳板对整个内部网络造成危害. 病毒样本分析 微…
[简单介绍] 经常使用网名: 猪头三 出生日期: 1981.XX.XX 个人站点: http://www.x86asm.com QQ交流: 643439947 编程生涯: 2001年~至今[共14年] 职业生涯: 12年 开发语言: C/C++.80x86ASM.PHP.Perl.Objective-C.Object Pascal.C#.Python 开发工具: Visual Studio.Delphi.XCode.Eclipse 技能种类: 逆向 驱动 磁盘 文件 研发领域: Windows应…