人人都是病毒专家 · 上传样本火眼鉴定活动

明镜星空

你的电脑里是不是有一些外{过}{滤}挂、小众软件、绿色版、破解版软件，或者你有时候下载了一个文件或者软件，你想使用他们，但是杀毒软件总是报毒，于是你有时候不得不关闭杀毒软件，但又提心吊胆，怕中毒？

没关系，火眼来了！一切问题轻松解决！

火眼是什么？

火眼是一款在线沙箱，将文件上传至火眼，便可进行分析，火眼可以分析文件的一切行为，展示给上传者，有危险的行为还会被高亮标出，一个文件是否有毒，看看就知道！

具体简介可见：https://fireeye.ijinshan.com/gn.html

活动时间：

2012/6/27~2012/7/3

活动内容：

1. 寻找样本

找到自己电脑上的软件或者程序或者可疑文件，也可以去卡饭样本区寻找。

卡饭样本区链接：http://bbs.kafan.cn/forum-31-1.html

2. 上传分析并截图

将自己的样本或者文件上传至火眼（地址：https://fireeye.ijinshan.com/index.html）。等待火眼结果出来之后（结果出来之后会发送到您填写的邮箱。

3.样本来源
如果是自己计算机上的，请上传至网盘后将链接发送到帖子内，如果是样本区选取的样本，则给出相应的链接。

没有火眼的邀请码怎么办？

请到帖子 http://bbs.kafan.cn/thread-1315914-1-1.html申请，申请时请按照该帖子里的要求来执行。否则可能拿不到邀请码。

活动奖品：

1.每个有效参加的楼层都将获得2经验值的奖励
2.有效参加次数最多的前6位卡饭会员将获得火眼VIP邀请码一枚。
3.活动结束前最后一个楼层的卡饭会员将获得QQ会员或者金山会员3个月的奖励。

活动提示：
1.切勿盲目双击下载的样本，以免中毒
2.火眼无法检测加密压缩包之内的内容，如有加密请解压后上传
3.火眼目前能检测压缩包，但压缩包里至多包括1个exe文件和4个dll文件
4.若出现并列前六名的情况，取上传时间最早的一位为得奖者。

参加活动回帖的举例：

我上传的是自己的样本

火眼报告：https://fireeye.ijinshan.com/ana ... ea38f753c0d80e9270a

（火眼报告可以只贴一部分，但地址必须写！）

基本信息

• 文件名称：f9898e0aced8cea38f753c0d80e9270a
• 文件哈希：f9898e0aced8cea38f753c0d80e9270a
• 文件大小：1860078字节
• 创建时间：2012-06-11 15:58:44
• 文件类型：EXE
• PEID信息：Nullsoft PiMP Stub [Nullsoft PiMP SFX] *
• 公司描述：中国蓝主题站
• 文件描述：森林小房主题包
• 文件版本：1.0.0.0
• 版权所有：Copyright (C) 2012 中国蓝主题站
• 产品名称：森林小房主题包
• 
  

[color=rgb(253, 85, 85) !important]危险行为监控

• 行为描述：疑似捆绑多个文件，警惕流氓软件捆绑推广或病毒捆绑传播
  附加信息：
  pp3download1.exe
  pp3download2.exe
  森林小房.theme
  
  

其他行为监控

• 行为描述：创建互斥体
  附加信息：
  "sample.exe"
• 行为描述：查找文件
  附加信息：
  "%USERPROFILE%\桌面\中国蓝主题站.lnk"
  "%windir%\pp3.ico"
  "C:\temp"
  "%temp%\nsb13.tmp"
  "%temp%\nsb13.tmp\*.*"
  "%temp%\nsq12.tmp"
  "%temp%\nsq12.tmp\*.*"
  "%temp%\nstF.tmp"
  "%temp%\nstF.tmp\*.*"
  "%temp%\nstF.tmp\BrandingURL.dll"
  "%temp%\nstF.tmp\NSISdl.dll"
  "%temp%\nstF.tmp\System.dll"
  "%temp%\nstF.tmp\finish.bmp"
  "%temp%\nstF.tmp\inetc.dll"
  "%temp%\nstF.tmp\instpr.bmp"
  "%temp%\nstF.tmp\kav.bmp"
  "%temp%\nstF.tmp\lic.bmp"
  "%temp%\nstF.tmp\nsDialogs.dll"
  "%temp%\nstF.tmp\option.bmp"
  "%temp%\nstF.tmp\wel.bmp"
  "%temp%\pp3plugin"
  "%temp%\pp3plugin\dir.ini"
  "%temp%\pp3plugin\pp3download1.exe"
  "%temp%\pp3plugin\pp3download2.exe"
  
  

进程操作监控

• 创建进程：%temp%\pp3plugin\pp3download1.exe
  启动参数：SW_SHOWMINIMIZED
• 创建进程：%temp%\pp3plugin\pp3download2.exe
  启动参数：SW_SHOWMINIMIZED
• 创建进程：http://www.pp3.cn/?^v^
  启动参数：无
• 创建进程：%temp%\nstF.tmp\dir.ini
  启动参数：无
• 创建进程：%windir%\resources\Themes\森林小房.theme
  启动参数：无
  

网络监控

• 网络操作【获取主机信息】www.pp3.cn
  【访问网址】http://www.pp3.cn/?^v^
  

运行截图

• 
• 
• 
  

上传历史截图（尽量使用整页的截图，截图中必须包含右上角的账号信息，否则视为无效）

样本来源：自己找到的样本
（再将其上传至网盘，给出链接）

悟心之道

版主啊，不能自沙，顶你下
再想问，火眼是针对普通用户还是对病毒行为好奇和想研究或者了解的用户呢？

明镜星空

悟心之道 发表于 2012-6-27 14:39
版主啊，不能自沙，顶你下
再想问，火眼是针对普通还是对病毒行为好奇和想研究或者了解的用户呢？

从高端扩展到普通。

悟心之道

明镜星空 发表于 2012-6-27 14:39
从高端扩展到普通。

普通用户谁管这个啊？

明镜星空

悟心之道 发表于 2012-6-27 14:40
普通用户谁管这个啊？

总会有的

渲染离别

正在安静的等待邀请码...

青春虎

样本：http://bbs.kafan.cn/thread-1316041-1-1.html

结果：https://fireeye.ijinshan.com/ana ... 2420a01cf090f586dc6



基本信息
文件名称：setup.exe
文件哈希：2090f20c1b6bf2420a01cf090f586dc6
文件大小：533504字节
创建时间：2012-06-27 14:52:22
文件类型：EXE
PEID信息：Borland Delphi 6.0 - 7.0


注册表监控
HKEY_CLASSES_ROOT\chm.file\shell\open\command
[(NULL)] = ["hh.exe" %1]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\chm.file\shell\open\command
[(NULL)] = ["hh.exe" %1]


毒霸直接kill了，不过火眼分析貌似没发现什么问题，估计是白加黑了……

渲染离别

报告:https://fireeye.ijinshan.com/ana ... fc65598200253c7a52e
行为描述：创建互斥体
附加信息："dvir1exedvir1exe"


行为描述：搜索指定窗口
附加信息：["" , "@@升级"]

["" , "扫描"]

["#32770,MCI Program Com Application]"

["XOR" , "MSCTFIME SMSS"]


行为描述：疑似查找杀软进程
附加信息：ALG.EXE [Windows网络连接防火墙和网络连接共享]

ibc

有些木马需要弹出界面来交互触发的，这样的木马火眼怎么分析

ibc

有些木马需要弹出界面来交互触发的，这样的木马火眼怎么分析