样本信息

病毒名称:cve-2012-0158 APT病毒
所属家族:APT木马后门
MD5值:52E3DDB2349A26BB2F6AE66880A6130C
SHA1值:52E3DDB2349A26BB2F6AE66880A6130C
CRC32:7D21F812
病毒行为:感染主机,留下后门,允许远程操控

测试环境及工具

测试环境为虚拟机win7专业版
所使用到的工具:火绒剑,Pchunter,od,ida

主要行为

运行带病毒的Word文档后,会在临时目录释放hkcmd.exe,原本的DOC文件,并运行hkcmd.exe。

Hkcmd文件运行后,会释放datac1en.dll文件到系统目录

并对注册表设置了相关的值


运行完毕之后,会结束自身进程,销毁自身文件

恶意代码分析

首先定位到缓冲区溢出地方

字节长度为8181,可见利用了缓冲区溢出漏洞实现ShellCode的执行
查看shellcode代码

创建文件,内存映射,申请内存,写入pe文件数据,然后写出到文件。
完成hkcmd文件的写出与原本的doc文件写出。

最后运行hkcmd.exe文件,打开原本的doc文档。

接下来就是hkcmd.exe文件的执行,Hkcmd文件运行后,会释放datac1en.dll文件到系统目录,然后设置注册表项,注册为系统服务

运行完毕之后,会结束自身进程,销毁自身文件

现在需要分析一下datac1en.dll文件。
使用IDA分析,直接F5反编译一下源码

可以看到调用了许多有关注册表的函数,十分可疑。
在部分函数内部,可以看到获取有关网页通讯的API操作

可以猜测是与网页操作有关的

并且部分明文经过了加密
经过大概分析,有一个函数比较可疑,里面有不同的操作,通过判断nType的值进行

里面囊括了创建结束进程,线程,遍历文件,驱动器,与远程通讯等操作。
可以猜测这个dll文件是注册到系统服务的,然后后台一直与远程进行通讯,可以根据远程发送的名称,进行对应的操作。

提取病毒的特征,利用杀毒软件查杀

可以通过查找字节码特征,使用杀毒软件查杀。

手工查杀步骤或是工具查杀步骤或是查杀思路等

进入安全模式,删除系统目录下datac1en.dll文件,临时目录的hkcmd.exe与datac1en.dll文件。
删除注册表键值

cve-2012-0158 APT病毒分析报告相关推荐

  1. android.troj.opfake.a病毒,FakeMsdMiner挖矿病毒分析报告

    原标题:FakeMsdMiner挖矿病毒分析报告 近日,亚信安全截获新型挖矿病毒FakeMsdMiner,该病毒利用永恒之蓝,永恒浪漫等NSA漏洞进行攻击传播.该病毒具有远控功能,可以获取系统敏感信息 ...

  2. 病毒分析报告-熊猫烧香

    分析报告 样本名 Worm.Win32.Fujack.p 时间 2017-5-27 平台 Windows 10 病毒分析报告 目录 1.样本概况    3 1.1 样本信息    3 1.2 测试环境 ...

  3. Morto蠕虫病毒分析报告

    文章目录 样本信息 病毒现场复现 分析过程 Loader部分 Payload部分 病毒查杀 样本信息 名称:cache.txt SHA1:a5f83e3baae0df2cdcf5b7e9e862705 ...

  4. 安全管家2012上半年手机安全分析报告

                                                           安全管家2012年上半年手机安全分析报告 近日,专业手机杀毒软件企业安全管家,发布了< ...

  5. Virut.ce-感染型病毒分析报告

    1.样本概况 病毒名称 Virus.Win32.Virut.ce MD5 6A500B42FC27CC5546079138370C492F 文件大小 131 KB (134,144 字节) 壳信息 无 ...

  6. c语言写骷髅病毒源码,骷髅病毒分析报告

    一:目录 1.样本信息 2.行为分析 3.样本分析 4.详细分析 二:样本信息 1.样本名称:样本.exe(脱壳后为样本dump.exe) 2.md5:5b8bc92296c2fa60fecc6316 ...

  7. 【安卓病毒分析报告】FakeBank-盗取韩国银行信息的手机病毒

    FakeBank 文件信息 病毒恶意行为 该病毒运行后弹出设备管理器激活界面,图标隐藏,电话薄联系人列表截取,SMS发送及收件箱所有信息拦截,干扰通话,下载恶性伪装韩国银行软件,利用漏洞设备管理器激活 ...

  8. 2020隐私窃贼病毒分析报告

    1.概述 近日我们在恒安嘉新态势感知平台上监测到一款仿冒韩国音乐应用的病毒样本.经过安全研究人员分析,发现该应用在用户不知情的情况下,窃取用户设备短信.联系人.设备信息等敏感数据,之后便隐藏图标保持后 ...

  9. 【Android病毒分析报告】 - Usbcleaver

    本文章由Jack_Jia编写,转载请注明出处.   文章链接:http://blog.csdn.net/jiazhijun/article/details/9179749 作者:Jack_Jia    ...

最新文章

  1. STAR: ultrafast universal RNA-seq aligner STAR:超快的通用RNA-seq比对器
  2. PAT甲级1103 Integer Factorization (30 分):[C++题解]背包问题,DP解法
  3. 机器学习应用方向(一)~英文姓名消歧(name disambiguation)
  4. Python 实现猜年龄小游戏
  5. tomcat5应用移植到WAS5.1中的一些问题及解决
  6. ITK:打印顶点邻居
  7. 7-68 求整数段和 (15 分)
  8. SpringBoot项目运行jar包启动
  9. 谈话《百度搜索引擎的网页质量白皮书》
  10. 洛谷 [P1387] 最大正方形
  11. JVM内存模型及垃圾回收算法
  12. 智慧景区管理系统提升游客服务体验
  13. android手机 windows7,windows7手机版系统下载
  14. J2EE和.NET技术
  15. linux 进入recovery 命令行,liunx-fastboot命令行的使用方法
  16. python建立源文件
  17. adf的主要功能之一是_复印机ADF是什么意思
  18. java coroutine / xiecheng / java Qursar /
  19. mercury MW300R(mt7620n)GPIO研究
  20. 2019年Q4三星和华为都败了,谁也想不到第一名是它

热门文章

  1. LeetCode55+56
  2. oracle的select into
  3. 胜利vs50线跟vs100线区别_第3节 基础指标的趋势比K线本身的趋势更可靠(3)
  4. 【转载】“而立”,“不惑”和“知天命”--程序员的三个层次
  5. 黑猴子的家:LUA脚本(Redis 秒杀案例)
  6. 深入理解JVM字节码(二)
  7. 计算机科学家沃斯提出的公式,第一章C语言的概述
  8. 2022年北京市专精特新申报时间及条件重点介绍,补贴20-50万
  9. sessionID一直变化。
  10. iOS及历史版本特性介绍