AutoRun类型分析
目录
- AntiAv类型分析
- 样本分析
- 行为预览
- 样本分析
- 反调试
- 病毒行为
- 注册表
- 根据网址1下载文件
- 根据网址2下载文件
- autorun.inf&&system.dll
- appwinproc.dll
- 修改host文件
- 批处理文件
- 驱动
AntiAv类型分析
样本分析
该样本为dll文件,由于缺失主要加载进程,指定下载网址已被查封,故静态分析
行为预览
该样本类型为dll,当有进程模块加载该样本时:
- a 获取加载该样本的程序名称进行判断是否是系统进程svchost.exe。若不是,则自行开启svchost.exe,并判断日期 满足使用svchost.exe加载该样本
- b 执行病毒行为:
- 1 首先检测是否处在调试状态以及系统进程是否存在调试进程,存在,则退出该进程
- 2 创建一个事件NSDownLoader20Vip02
- 3 创建多个线程执行不同的操作
- 1)修改注册表:创建注册表项,每隔一秒刷新注册表项,修改情况为伪造成与杀毒软件一致的调试注册表项
- 2)根据系统版本获取系统权限
- 3)当前线程初始化COM库并设置并发模式
- 4)获取受感染本机的信息, 生成特定格式的文件保存下载指定网址1的文件
- 5)生成临时文件保存下载指定网址2的文件,然后映射下载的文件(猜测文件保存了下载的地址),创建线程执行创建文件下载映射文件中的网址的文件,打开浏览器相关进程,根据下载文件创建进程
- 6)向除了A,B盘之外的软盘或本地磁盘的盘符中创建autorun.inf和system.dll,利用rundll32.exe加载该dll
- 7)该样本的Res资源释放生成appwinproc.dll文件,使用进程快照遍历远程线程注入appwinproc.dll文件
- 8)对杀毒软件官网进行重定位 iP修改为本机127.0.0.1
- 9)创建批处理文件,执行批处理文件获取信息 并发送socket消息
- 10)该样本的Res资源释放生成驱动NSPASS?.sys(?代表数字),直接访问磁盘并替换系统的一些dll文件
样本分析
反调试
调用IsDebuggerPresent函数
遍历进程查找调试进程
病毒行为
注册表
首先将自己的进程写入注册表,伪造成调试程序,添加大量杀毒软件,以同样方式设置为调试类型
其他杀毒软件名称如下
根据网址1下载文件
获取系统以及感染本机的局域网信息整合成指定的格式发送到解密后的真实网址,进行下载文件
获取系统以及感染本机的局域网信息
解密真实网址:http://www.teltee.net/count/Count.asp
进行整合
下载文件
根据网址2下载文件
解密网址2:www.teltee.net/set.txt
下载文件
下载的文件仍然是一个网址,创建线程从网址继续下载
生成随机txt文件,继续下载文件
打开浏览器 执行该txt文件
autorun.inf&&system.dll
在每个硬盘根目录下:
生成autorun.inf文件
autorun.inf文件格式,作用:使用rundll32.exe加载该dll
[autorun]
shell\open\command=rundll32 system.dll,explore
shell\explore\command=rundll32 system.dll,explore
生成system.dll文件
将样本dll下拷贝替换到每个磁盘的system.dl
appwinproc.dll
释放样本的资源文件生成appwinproc.dll文件
遍历进程,创建远程线程 注入appwinproc.dl
修改host文件
对杀毒软件官网进行重定位 iP修改为本机
修改的杀毒官网:
批处理文件
启动本机的lanmanserver与Browser服务
本机临时文件夹内创建一个xxx.txt的文件(x代表随机数字)创建批处理文件, 利用批处理和debug将其“重组”成dll文件,利用rundll32.exe加载
感染其他主机,复制文件
驱动
生成NSPASS.sys文件
释放样本Res资源、相应的dll名称和"NsPsDk"字符串按照一定格式
校验后保存在驱动中
开启服务,与新生成的驱动进行交互
分析完毕
AutoRun类型分析相关推荐
- mysql查询时间类型c语言处理_资讯类app用户热度及资讯类型分析-Mysql进行数据预处理...
本文是"资讯类app用户热度及资讯类型分析"一文中,Mysql进行数据预处理的部分.因为篇幅可能比较长,而且摘出来不会过于影响原文分析思路,所以这里单独进行介绍.(本文前四部分与正 ...
- 【蓝桥杯Java_C组·从零开始卷】第一节、环境与变量类型运算符与类型分析
B站高清回放地址: [https://www.bilibili.com/video/BV1Bm4y1Q7Wt?spm_id_from=333.999.0.0] 目录 一.Java环境搭建与使用(Ecl ...
- Python小白的数学建模课-A1.国赛赛题类型分析
分析赛题类型,才能有的放矢. 评论区留下邮箱地址,送你国奖论文分析 『Python小白的数学建模课 @ Youcans』 带你从数模小白成为国赛达人. 1. 数模竞赛国赛 A题类型分析 年份 题目 要 ...
- 电力系统故障点分析,短路类型分析,中性点小电流接地 不接地故障分析,故障点定位
电力系统故障点分析,短路类型分析,中性点小电流接地 不接地故障分析,故障点定位,可模拟三相变压器三相短路.单相短路.两相短路和两相短路接地的情况,仿真得到短路电流波形. ID:522006215716 ...
- VMware workstation虚拟硬盘、类型分析
VMware workstation虚拟硬盘.类型分析 在 VMware workstation虚拟机中会有四中硬盘类型,在创建时我们应该为虚拟机选择哪种的硬盘格式为最佳呢? 请根据下面的分析进行选择 ...
- 金武士ups电源故障情况类型分析及维修
金武士ups电源故障情况类型分析及维修 一.金武士UPS电源无法启动 因为金勇士ups的电源是DC启动的,所以在电池没有连接.电池电量低或者电池有问题的情况下,UPS是无法启动的.下面有几种类似的情况 ...
- python彩票分析_033期钟玄福彩3D预测奖号:组选类型分析
福彩3D第2021032期试机号为484,奖号为072,奖号类型为组六,奇偶比为1:2,大小比为1:2. 类型分析:福彩3D在上一个30期周期内(第2020291期-第2021007期),豹子号码没有 ...
- 【愚公系列】2023年06月 网络安全(交通银行杯)-文件类型分析和社工
文章目录 前言 一.文件类型分析 1.文件类型分析1 2.文件类型分析2 3.文件类型分析3 4.文件类型分析4 5.文件类型分析5 6.文件类型分析6 二.社工 1.李四 2.社工帝 3.寓意 4. ...
- 计算机市场结构类型分析ppt模板,短语结构类型分析.ppt
短语结构类型分析 短语结构常见类型 并列短语 形容词+名词 如:美丽的花朵 伟大的人民 浩瀚的大海 数量词+名词 如: 一杯水 一位顾客 三斤水果 名词+名词 如:学校的图书馆 祖国大地 烟台的苹果 ...
- 云端还是本地,数据放哪儿更安全之泄密事件类型分析篇
在<云端还是本地,数据放哪儿更安全之泄密事件篇>中,我们回顾了一些曾经发生的重大数据泄露事件.在本篇中,我们来分析一下这些泄露事件主要分为哪些类型.网络犯罪分子似乎有无数方法来攻击目标.窃 ...
最新文章
- node.js 验证路径有效性_怎样识别光伏谐波路径?试试这个算法
- mysql的1067启动错误的解决
- java 升级1.8_升级java到1.8.0_111
- 支持移动端深度学习的几种开源框架
- Effective C++笔记_条款31将文件间的编译依存关系降至最低
- (49)逆向分析KiSystemService/KiFastCallEntry调用内核函数部分(SST,SSDT,SSPT)
- 六、【SAP-PM模块】预防性维护业务流程
- 为什么不能根据返回类型来区分重载
- 删除高频分量matlab,关于FFT之后怎么提出该频率分量
- 编译原理(九)——递归下降法
- c语言中calloc函数,C 库函数 – calloc()
- 电压的符号代表的是什么意思
- 及时输出_《奇葩说》大王逆袭开挂:真正会学习的人,都拥有输出这条管道
- bmp,jpg,png,tif,wmf,emf与eps图片格式转换
- WordPress教程:如何隐藏并替换WordPress管理路径?
- Embedding技术
- SM2262EN+东芝BICS3 1TB开卡报错处理
- 【愚公系列】2023年04月 攻防世界-MOBILE(Android2.0)
- era翻译_英语单词era是什么意思,英文单词查询era,在线单词era翻译
- 11. 爬虫训练场,学校数据分页呈现,Bootstrap5 媒体组件