某绒安全面试病毒分析（一）

莫流云 · 发表于 2019-6-29 23:01

病毒分析基本信息基本信息样本名称9acc101dfc672ae44a9f1a68dce60c6f1406ecc32f683c28471a0ef6489fc6dc样本类型PE32 executable (GUI) Intel 80386, for MS Windows样本大小264201MD5823cac301b8ee8e8926f9b0ace21ecbcSHA1548ad5abffdece69db295723b26115d344ab9e18SHA2569acc101dfc672ae44a9f1a68dce60c6f1406ecc32f683c28471a0ef6489fc6dcSSDeep3072:t1BLv/DeWyO41jgS9eJCBVhOtA3t8JxR3dj9f2XwL0PS8u73GjbtUG0YcO:t1BLTecefLnh4AdKxRtj9f2XwseHQ PE 基本信息导入表HASH1a77befcff5b9be60463e4c8f86d0e25编译时间戳2018-05-04 03:11:29PEIDPE: compiler: Microsoft VisualC/C++(2010)[libcmt]PE: linker: Microsoft Linker(10.0)[EXE32]入口所在段.text附加数据9镜像基地址0x400000入口点(OEP)0x39b8 PE 文件签名 第三方检测信息find_cryptTraceback (most recent call last): File"Z:\SS_WIN_NODE\SCANNER\findcrypt\main.py", line 52, in main current_key= pen.findall(item)[0] IndexError: list index out of range
这是菜鸡首次分析病毒，首先我们用peid看下病毒的编写语言。

首先我们使用dependency walker看一下这个程序所需要的dll文件,发现如下文件

我们现在不知道病毒具体做了哪些工作,首先我们运行，然后利用process exploer查看病毒的一些行为如下：

经过上述简单分析和病毒的运行我们总结病毒的基本功能如下此病毒每隔几秒调用nslookup.exe(nslookup.exe是用于诊断工具显示来自域名系统 (dns)名称服务器信息的工具。被报存在0 day 漏洞,攻击者主动应用该漏洞将引起主机拒绝服务或执行任意代码)搜索dll文件后发现此程序在运行以后以程序本身所在文件夹为基础，多次抛出sample.exe线程。并且调用nslookup程序，在后台运行。病毒会删除所有桌面图标和菜单栏。进行注册表修改默认开机自启动

sample.zip (156.02 KB, 下载次数: 46)

莫流云 · 发表于 2019-6-30 11:54

吾爱丶加油发表于 2019-6-30 00:14
所以你想说明什么

这只是开头然后做一个简单的记录后续会继续分析

莫流云 · 发表于 2019-6-30 11:55

黑色切线发表于 2019-6-30 08:53
我去这就完了吗

这只是开头然后做一个简单的记录后续会继续分析

山上石 · 发表于 2019-6-29 23:28

结论呢？

愤怒的大豆包 · 发表于 2019-6-29 23:46

看起来很强，谢谢分享

社会主義パンク · 发表于 2019-6-30 00:02

排版有待改善啊

dglaobing · 发表于 2019-6-30 00:11

是不是会导致桌面进程一直处在重启状态而无法显示桌面

吾爱丶加油 · 发表于 2019-6-30 00:14

所以你想说明什么

黑色切线 · 发表于 2019-6-30 08:53

我去这就完了吗

莫流云 · 发表于 2019-6-30 11:53

山上石发表于 2019-6-29 23:28
结论呢？

这只是开头然后做一个简单的记录后续会继续分析

帐号		自动登录	找回密码
密码			注册[Register]

[PC样本分析] 某绒安全面试病毒分析（一）

免费评分

个人中心