病毒分析之伪装360主动防御病毒分析_XiaoBa-20
病毒分析之伪装360主动防御病毒分析_XiaoBa-20
样本概况
说明:此样本应该是之前被抓的黑客XiaoBa的中期作品。(见下边截图信息)
样本最初于18年1月份发布,我这里于18年2月份捕获,样本并不是太复杂,但影响范围比较大。
作者病毒家族流行情况见:https://bbs.pediy.com/thread-230294.htm
文件: C:\Users\Hades-win7\Desktop\68c52de83e5247.vir
大小: 121608 bytes
文件版本:3, 2, 2, 2075
修改时间: 2018年7月10日, 11:05:02
MD5: BE377A38084FC7150DB1BDD8F254684A
SHA1: 463CDC616A161E88370C4AC68AC197D8ED015FF7
CRC32: FE3817F0
恶意行为
1.以仿360的ZhuDongFangYu.exe进程运行自身.
2.拷贝自身到系统目录,设置文件属性为隐藏,只读和系统文件
3.操作注册表,禁用UAC权限,添加开机启动项,禁用系统自带的注册表工具,删除安全选项
4.遍历磁盘,复制自身到磁盘根目录,并创建autorun.inf配置文件,用来启动自身
5.修改host文件,禁止访问安全软件官网
6.创建感染线程,感染部分可执行文件和脚本文件,将恶意程序写入正常文件.
详细分析
在系统目录下创建文件夹目录C:\WINDOWS\360\360Safe\deepscan,在拷贝自身并重命名为ZhuDongFangYu.exe
修改ZhuDongFangYu.exe的文件属性为只读,隐藏和系统文件
操作注册表,禁用UAC,添加开机启动项,禁用系统注册表工具,禁用文件夹选项,删除安全模式.
在每个磁盘下创建autorun.inf文件,并向其中写入配置,设置文件属性为只读,隐藏
[autorun]
open=RECYCLER\S-5-4-62-7581032776-5377505530-562822366-6588\ZhuDongFangYu.exe
shellexecute=RECYCLER\S-5-4-62-7581032776-5377505530-562822366-6588\ZhuDongFangYu.exe
shell\Auto\command=RECYCLER\S-5-4-62-7581032776-5377505530-562822366-6588\ZhuDongFangYu.exe
shell\open=RECYCLER\S-5-4-62-7581032776-5377505530-562822366-6588\ZhuDongFangYu.exe
shell\open\Command=RECYCLER\S-5-4-62-7581032776-5377505530-562822366-6588\ZhuDongFangYu.exe
再次拷贝病毒程序到C:\RECYCLER\S-5-4-62-7581032776-5377505530-562822366-6588\ZhuDongFangYu.exe
修改host文件属性,打开host文件,读取文件,向其中写入下面的网址数据
创建感染线程
遍历磁盘文件
感染.exe\.com\.scr\.pif\.html\.htm\.gho\.iso文件
可执行文件感染方式是把病毒自身直接添加到正常程序的文件开始处.如想运行正常程序,先运行病毒程序
在感染脚本文件末尾添加以下代码
分析总结
这个样本可以由以上分析的得知,样本由易语言开发,为了减小样本程序体积,不易被杀毒软件查杀,所以使用了黑月插件编译.样本实现了很多恶意代码的禁用安全方案和感染目的,以后可能进行更大的破坏性操作.分析此类易语言加黑月插件的样本,最终也是分析类MFC框架的Win32程序。样本的技术使用的技术不是很难,关键在于传播广。
防护建议还是要安装最新版的杀毒软件,不要随便自己关闭。有杀毒软件还是很大程度上防止中毒的,就算中了此类病毒,也完全可以及时修复。
最后还是说,还是不要抱着侥幸心理做违法的事情。
病毒分析之伪装360主动防御病毒分析_XiaoBa-20相关推荐
- 勒索病毒遇上后缀.360勒索病毒如何恢复文件,被.360后缀勒索病毒加密怎么办?
1.后缀.360勒索病毒介绍 后缀.360勒索病毒 说明文件.后缀.360后缀勒索病毒加密所有文档,并要求货币文件被作为支付赎金解锁他们. 后缀.360勒索病毒介绍 后缀.360勒索病毒它通过向文件 ...
- 对伪装docx文件病毒的逆向分析
1.病毒文件的基本信息分析 1.1 病毒文件具体展示 病毒文件用的资源图标是wps的图标,以此让大家误认为是docx文件,最终是为了诱导大家点击打开病毒文件. 1.2 病毒信息具体提示 打开解压病毒文 ...
- 病毒分析之撒旦(Satan)勒索病毒分析解密(AES256 ECB算法)
病毒分析之撒旦(Satan)勒索病毒分析解密(AES256 ECB算法) 0x0病毒概况 撒旦勒索病毒主要是针对企业服务器用户进行感染加密其服务器上的文件并勒索用户的一种病毒. 撒旦病毒通过大量漏洞利 ...
- krap病毒家族解密方式及ao变种分析
说一下流程,否则容易乱 1 解密-(pack部分)--> 2二次解密(pack部分)--->3内存中解密(pack部分)--->4替换自身模块基址映像(pack部分)----> ...
- 病毒初识-认知、工具与简单分析
文章目录 病毒初识-认知.工具与简单分析 发展阶段 DOS引导阶段 DOS可执行阶段 伴随型阶段 变形阶段 变种阶段 蠕虫阶段 PE文件病毒 宏病毒阶段 互联网病毒阶段 病毒命名 卡巴斯基(俄罗斯)中 ...
- 病毒乔装假扮“高考答案” 360安全卫士率先截杀
正值2017年高考,许多考生和家长在网上搜索考题答案来估算分数,极易落入木马病毒的陷阱.根据互联网安全公司360发布的病毒警报,近期伪装为高考答案网络资源的木马病毒数量急剧上升,提醒考生注意防范,36 ...
- 360病毒|360后缀文件|360勒索病毒|文件被加密为360|中了360勒索病毒怎么办?|数据库文件恢复|数据恢复|
什么是勒索病毒 勒索病毒是一种目前流行的病毒,通过网络等多种途径传播,受害者电脑感染该病毒后后,病毒将自动加密受害者电脑里的多种常见文件,使得受害者的重要资料文件无法正常使用,或者是锁住用户电脑,并以 ...
- .360勒索病毒的加密数据怎么处理?|.360勒索病毒数据解密恢复
.360勒索病毒是一种恶意软件,它对用户的计算机文件进行加密,并要求支付赎金才能解密恢复数据.这种勒索病毒以其广泛传播和严重破坏性而闻名,给个人用户和企业带来了巨大的困扰和损失. 一家中型制造企业,名 ...
- Atitit.木马 病毒 免杀 技术 360免杀 杀毒软件免杀 原理与原则 attilax 总结...
Atitit.木马 病毒 免杀 技术 360免杀 杀毒软件免杀 原理与原则 attilax 总结 1. ,免杀技术的用途2 1.1. 病毒木马的编写2 1.2. 软件保护所用的加密产品(比如壳)中,有 ...
- 根据”so劫持”过360加固详细分析
参考:https://bbs.pediy.com/thread-223699.htm http://blog.csdn.net/luoshengyang/article/details/8923483 ...
最新文章
- 在吗?认识一下JWT(JSON Web Token) ?
- 北京小伙用AI修复100年前的京城老视频爆火网络,作者:7天完成,颜色还有不足...
- jmeter对需要登录的接口进行性能测测试
- PHP---微信JS-SDK获取access_token/jsapi_ticket/signature权限签名算法,php/thinkphp实现微信分享自定义文字和图片...
- 黑马程序员Linux系统开发视频之mmap使用注意事项
- 汉诺塔--(数据结构)
- block的用法以及block和delegate的比较(转发)
- strcpy与strdup
- 多项目开发下的dll文件管理
- HDU6038 - Function
- php阻止输入sql,在PHP中全面阻止SQL注入式攻击之三
- 屏幕旋转后_网易哒哒H5又又叒刷屏了,TCL·XESS 旋转智屏竟然是一大亮点
- 基于SSM的理财系统
- macbook 安装任意来源
- layui富文本编辑器
- oc引导win方法_适配自己的OC引导一键生成Opencore Generation X使用指南
- android 调用系统图片编辑,android 调用系统 裁剪 图片
- 王菲微博“逗贫”语录暴光
- 读书笔记-深度学习入门之pytorch-第四章(含卷积神经网络实现手写数字识别)(详解)
- 一般椭圆方程表示的椭圆的绘制