spo0lsv病毒分析
1.样本概况
1.1 样本信息
病毒名称:spo0lsv.exe
所属家族:Worm
MD5值:512301C535C88255C9A252FDF70B7A03
SHA1值:CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870
CRC32:E334747C
文件大小:30001bytes
壳信息:FSG 2.0
病毒行为:复制自身、感染PE文件、覆写PE文件、修改注册表自启动、枚举进程、结束杀软进程、删除安全软件相关启动项
1.2 测试环境及工具
Win7、PEID、火绒剑、x64dbg、OD、IDA、010Editor、PCHunter、Hash
1.3 分析目标
分析病毒的恶意行为,通过恶意代码梳理感染逻辑,编写查杀修复工具。
2.具体行为分析
2.1 主要行为
病毒的主要行为分三部分:
第一部分(自我复制执行)
第二部分(感染部分)
第三部分(病毒自我保护)
2.1.1 恶意程序对用户造成的危害(图)
1、病毒复制自身到:C:\Windows\System32\drivers\spo0lsv.exe并启动
2、每个目录下创建Desktop_.ini文件,并隐藏;
3、每盘符根目录创建autorn.inf、setup.exe文件并隐藏,setup.exe设置为自启动;
4、感染后缀位exe scr pif com文件和后缀为htm html asp php jsp aspx文件;
5、设置注册表键值得,svcshare项设置自启动;
6、连接局域网中其他计算机;
2.2 恶意代码分析
2.1 病毒OEP代码执行过程分析
2.2 病毒释放和运行分析
2.3 病毒感染分析
2.3.1 全盘感染
删除.GHO文件
感染后缀位.exe .scr .pif .com文件
感染后缀为htm html asp php jsp aspx文件
2.3.2 定时器感染
2.3.2 局域网感染
2.4 病毒自我保护分析
2.4.1 定时器1回调函数sub_40CEE4
设置病毒自启动,设置无法开启显示隐藏文件;
2.4.2 定时器2回调函数sub_40D040
2.4.3 定时器3回调函数sub_40D048
2.4.4 定时器4回调函数sub_407430
2.4.5 定时器5回调函数sub_40CC4C
2.4.6 定时器6回调函数sub_40C728
3.解决方案(或总结)
3.1 提取病毒的特征,利用杀毒软件查杀
网络ip:
字符串:WhBoy
3.2 手工查杀步骤或是工具查杀步骤或是查杀思路等。
1、关闭spo0lsv.exe进程,删除C:\Windows\System32\drivers\spcolsv.exe
2、删除HKEY\Software\Microsoft\Window\CurrentVersion\Run中自启动项svcshare
3、显示隐藏文件,设置HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
\Advanced\Folder\Hidden\SHOWALL中CheckedValue键值设置为1
4、删除每个盘符根目录中的autorun.inf和setup.exe及目录中的隐藏文件Desktop_.inii
转载于:https://www.cnblogs.com/Schicksal/p/10559817.html
spo0lsv病毒分析相关推荐
- 学习笔记-spo0lsv病毒分析
1.样本概况 1.1 样本信息 病毒名称:spo0lsv.exe(熊猫烧香) 所属家族:Worm MD5值:512301C535C88255C9A252FDF70B7A03 SHA1值:CA3A107 ...
- 熊猫烧香变种病毒分析
熊猫烧香变种病毒分析分析报告 样本名 2_dump_SCY.exe(熊猫烧香) 作者 yusakul 时间 2018-07-13 平台 Win7-32 1.样本概况 1.1 样本信息 病毒名称 2_d ...
- [病毒分析]熊猫烧香
熊猫烧香病毒分析报告 1.样本概况 1.1 样本信息 1.2 测试环境及工具 1.3 分析目标 2.具体行为分析 2.1 主要行为 2.1.1 恶意程序对用户造成的危害 2.2 恶意代码分析 3.解决 ...
- 病毒分析报告-熊猫烧香
分析报告 样本名 Worm.Win32.Fujack.p 时间 2017-5-27 平台 Windows 10 病毒分析报告 目录 1.样本概况 3 1.1 样本信息 3 1.2 测试环境 ...
- C:/WINDOWS/system32/x 病毒分析和解决建议
系统出现问题,症状有: 偶尔很卡,CPU并没有很高的进程: 死机,屏幕锁定,键盘失灵,仅鼠标能移动,但是不能任何操作: 只能强行重新启动: NOD32会报以下病毒警告: C:/WINDOWS/syst ...
- 013 Android锁机病毒分析
文章目录 免流服务器-锁机病毒分析 秒抢红包-锁机病毒分析 免流服务器-锁机病毒分析 首先来分析这个免流服务器的锁机病毒,文件信息如下 文件: 免流服务器.apk 大小: 799835 bytes 修 ...
- Android逆向与病毒分析
本文由同程旅游安全团队对内移动安全培训的PPT整理而来,面向对象为对移动安全感兴趣的研发同事,所以讲的有些宽泛.介绍了入门Android逆向需要掌握的一些知识点, 通过简单的几个案例讲解Android ...
- 一个感染型木马病毒分析(二)
作者:龙飞雪 0x1序言 前面已经对感染型木马病毒resvr.exe的病毒行为进行了具体的分析见一个感染型木马病毒分析(一),但是觉得还不够,不把这个感染型木马病毒的行为的亮点进行分析一下就有点遗憾了 ...
- 分享几个病毒分析检测网址
1.在线病毒分析网站: 以下网站上传样本后,很快就会在网页上出报告的: (1)这个网址报告格式很简洁,我很喜欢:http://camas.comodo.com/ (2)这个网址的报告最全面,而且会真的 ...
最新文章
- [导入]金山词霸2005精简版下载地址
- Oracle回应用户锁定,自治数据库是更好选择
- maven java 可执行jar_Maven项目打包成可执行Jar文件
- 我的第一个项目(人力资源管理之报表管理)
- 使用 GDB 恢复堆栈信息
- matlab机械臂工作空间代码_轻型协作机械臂运动学及工作空间分析
- matlab中将ebn0转snr,EbNo(EbN0)和SNR
- python做数据可视化的优势_用Python进行数据可视化的10种方法
- QTableView使用方法小结
- ambari集群修改ip地址
- [附源码]java毕业设计疫情防控期间人员档案追寻系统设计与实现论文
- linux设置apn脚本apn,LINUX 4G pppd接入点设置
- 08s01 mysql_mysql报错 code:08S01,msg:SQLSTATE
- Android与MVC设计模式相关操作
- 鸿蒙开发|呼吸训练实战项目(一)
- Mac VMware Fusion提示物理内存不足
- 数据库重组函数reorg
- linux从文件中匹配查找内容
- C语言中数组首地址和数组第一个元素的地址有什么区别
- Android应用市场