病毒分析之伪装360主动防御病毒分析_XiaoBa-20
病毒分析之伪装360主动防御病毒分析_XiaoBa-20
样本概况
说明:此样本应该是之前被抓的黑客XiaoBa的中期作品。(见下边截图信息)
样本最初于18年1月份发布,我这里于18年2月份捕获,样本并不是太复杂,但影响范围比较大。
作者病毒家族流行情况见:https://bbs.pediy.com/thread-230294.htm
文件: C:\Users\Hades-win7\Desktop\68c52de83e5247.vir
大小: 121608 bytes
文件版本:3, 2, 2, 2075
修改时间: 2018年7月10日, 11:05:02
MD5: BE377A38084FC7150DB1BDD8F254684A
SHA1: 463CDC616A161E88370C4AC68AC197D8ED015FF7
CRC32: FE3817F0
恶意行为
1.以仿360的ZhuDongFangYu.exe进程运行自身.
2.拷贝自身到系统目录,设置文件属性为隐藏,只读和系统文件
3.操作注册表,禁用UAC权限,添加开机启动项,禁用系统自带的注册表工具,删除安全选项
4.遍历磁盘,复制自身到磁盘根目录,并创建autorun.inf配置文件,用来启动自身
5.修改host文件,禁止访问安全软件官网
6.创建感染线程,感染部分可执行文件和脚本文件,将恶意程序写入正常文件.
详细分析
在系统目录下创建文件夹目录C:\WINDOWS\360\360Safe\deepscan,在拷贝自身并重命名为ZhuDongFangYu.exe
修改ZhuDongFangYu.exe的文件属性为只读,隐藏和系统文件
操作注册表,禁用UAC,添加开机启动项,禁用系统注册表工具,禁用文件夹选项,删除安全模式.
在每个磁盘下创建autorun.inf文件,并向其中写入配置,设置文件属性为只读,隐藏
[autorun]
open=RECYCLER\S-5-4-62-7581032776-5377505530-562822366-6588\ZhuDongFangYu.exe
shellexecute=RECYCLER\S-5-4-62-7581032776-5377505530-562822366-6588\ZhuDongFangYu.exe
shell\Auto\command=RECYCLER\S-5-4-62-7581032776-5377505530-562822366-6588\ZhuDongFangYu.exe
shell\open=RECYCLER\S-5-4-62-7581032776-5377505530-562822366-6588\ZhuDongFangYu.exe
shell\open\Command=RECYCLER\S-5-4-62-7581032776-5377505530-562822366-6588\ZhuDongFangYu.exe
再次拷贝病毒程序到C:\RECYCLER\S-5-4-62-7581032776-5377505530-562822366-6588\ZhuDongFangYu.exe
修改host文件属性,打开host文件,读取文件,向其中写入下面的网址数据
创建感染线程
遍历磁盘文件
感染.exe\.com\.scr\.pif\.html\.htm\.gho\.iso文件
可执行文件感染方式是把病毒自身直接添加到正常程序的文件开始处.如想运行正常程序,先运行病毒程序
在感染脚本文件末尾添加以下代码
分析总结
这个样本可以由以上分析的得知,样本由易语言开发,为了减小样本程序体积,不易被杀毒软件查杀,所以使用了黑月插件编译.样本实现了很多恶意代码的禁用安全方案和感染目的,以后可能进行更大的破坏性操作.分析此类易语言加黑月插件的样本,最终也是分析类MFC框架的Win32程序。样本的技术使用的技术不是很难,关键在于传播广。
防护建议还是要安装最新版的杀毒软件,不要随便自己关闭。有杀毒软件还是很大程度上防止中毒的,就算中了此类病毒,也完全可以及时修复。
最后还是说,还是不要抱着侥幸心理做违法的事情。
病毒分析之伪装360主动防御病毒分析_XiaoBa-20相关推荐
- 勒索病毒遇上后缀.360勒索病毒如何恢复文件,被.360后缀勒索病毒加密怎么办?
1.后缀.360勒索病毒介绍 后缀.360勒索病毒 说明文件.后缀.360后缀勒索病毒加密所有文档,并要求货币文件被作为支付赎金解锁他们. 后缀.360勒索病毒介绍 后缀.360勒索病毒它通过向文件 ...
- 对伪装docx文件病毒的逆向分析
1.病毒文件的基本信息分析 1.1 病毒文件具体展示 病毒文件用的资源图标是wps的图标,以此让大家误认为是docx文件,最终是为了诱导大家点击打开病毒文件. 1.2 病毒信息具体提示 打开解压病毒文 ...
- 病毒分析之撒旦(Satan)勒索病毒分析解密(AES256 ECB算法)
病毒分析之撒旦(Satan)勒索病毒分析解密(AES256 ECB算法) 0x0病毒概况 撒旦勒索病毒主要是针对企业服务器用户进行感染加密其服务器上的文件并勒索用户的一种病毒. 撒旦病毒通过大量漏洞利 ...
- krap病毒家族解密方式及ao变种分析
说一下流程,否则容易乱 1 解密-(pack部分)--> 2二次解密(pack部分)--->3内存中解密(pack部分)--->4替换自身模块基址映像(pack部分)----> ...
- 病毒初识-认知、工具与简单分析
文章目录 病毒初识-认知.工具与简单分析 发展阶段 DOS引导阶段 DOS可执行阶段 伴随型阶段 变形阶段 变种阶段 蠕虫阶段 PE文件病毒 宏病毒阶段 互联网病毒阶段 病毒命名 卡巴斯基(俄罗斯)中 ...
- 病毒乔装假扮“高考答案” 360安全卫士率先截杀
正值2017年高考,许多考生和家长在网上搜索考题答案来估算分数,极易落入木马病毒的陷阱.根据互联网安全公司360发布的病毒警报,近期伪装为高考答案网络资源的木马病毒数量急剧上升,提醒考生注意防范,36 ...
- 360病毒|360后缀文件|360勒索病毒|文件被加密为360|中了360勒索病毒怎么办?|数据库文件恢复|数据恢复|
什么是勒索病毒 勒索病毒是一种目前流行的病毒,通过网络等多种途径传播,受害者电脑感染该病毒后后,病毒将自动加密受害者电脑里的多种常见文件,使得受害者的重要资料文件无法正常使用,或者是锁住用户电脑,并以 ...
- .360勒索病毒的加密数据怎么处理?|.360勒索病毒数据解密恢复
.360勒索病毒是一种恶意软件,它对用户的计算机文件进行加密,并要求支付赎金才能解密恢复数据.这种勒索病毒以其广泛传播和严重破坏性而闻名,给个人用户和企业带来了巨大的困扰和损失. 一家中型制造企业,名 ...
- Atitit.木马 病毒 免杀 技术 360免杀 杀毒软件免杀 原理与原则 attilax 总结...
Atitit.木马 病毒 免杀 技术 360免杀 杀毒软件免杀 原理与原则 attilax 总结 1. ,免杀技术的用途2 1.1. 病毒木马的编写2 1.2. 软件保护所用的加密产品(比如壳)中,有 ...
- 根据”so劫持”过360加固详细分析
参考:https://bbs.pediy.com/thread-223699.htm http://blog.csdn.net/luoshengyang/article/details/8923483 ...
最新文章
- ZOJ 1025 Wooden Sticks(快排+贪心)
- debian apt-get 国内常用 镜像源
- Vue中使用Axios传递数组参数给SpringBoot后台时的实现方式
- JavaScript面试题目集锦
- 麦田在线携手网易云信,开启手机智能找房新时代
- 【计算机是如何通信 四】Web服务器/Severlet/DispatcherServlet/Controller
- Oracle AWR ASH
- UVa 120 - Stacks of Flapjacks
- MVC中如何实现本地化的解决方案
- L2-016. 愿天下有情人都是失散多年的兄妹-PAT团体程序设计天梯赛GPLT(广度优先bfs)
- android字符串点击事件,Android匹配字符串高亮并设置点击事件
- C++--第4课 - 函数的升级-下
- 不插字段,直接利用OracleSpatial计算
- 18-HTML标签的居中
- 浅谈Java栈内存和堆内存
- 19|雨季来临,聊些轻松的吧
- pandas的自带数据集_Pandas教程:初学者入门必备,很全面,很详细!
- 未转变者服务器简单,未转变者服务器搭建教程详细讲解
- eclipse复制工作空间配置
- C++ USN日志 相关的代码
热门文章
- Android平板怎么截屏,华为平板怎么截屏(华为平板快速截图)
- c语言算法骑士,[算法]C语言实现 骑士旅游(递归)
- 【KE特效仿制】假面骑士 EX-AID NCOP+无彩限的怪灵世界 NCOP
- Python实现简易的图书借阅管理系统
- nfine配置oracle,nfine去后门版和数据库说明
- 程序员累了怎么办-兄弟连IT教育
- i219v微星 驱动_Intel英特尔网卡驱动下载-Intel英特尔I217/I218/I219系列网卡驱动官方版下载[电脑版]-华军软件园...
- 2021最新电视盒子TV源码开源电视影视APP影视源码
- memcached可视化工具 treeNMS通用的安装方法(windows、mac、linux)
- 0.0 研磨设计模式