查看: 6869|回复: 25
收起左侧

[病毒样本] 求大神帮忙分析此病毒行为与感染来源,感染几乎全盘exe文件,但是杀软都能修复文件

[复制链接]
asdfgqwerty
发表于 2017-3-20 21:01:17 | 显示全部楼层 |阅读模式
样本见附件 文件传送机.rar 中的 文件传送机v.exe
就是那个200多Kb的,其他几个是被杀软主动防御清除病毒后复原的文件
原文件是 文件传输机,那不是病毒,就是传文件的工具飞鸽传书
奇怪的是不同杀软恢复的文件大小不一样,但是都可以正常打开。。

杀软金山报毒:Worm.Dlan.b.79872,360报的好像是什么什么 .c 的,不记得了。

事情是这个样子的:办公电脑,WIN7系统,插过很多同事的U盘帮他们扫描杀毒,除了双击打开目录,但是没有运行过任何可疑文件。
前些时候发现电脑桌面上几个exe文件莫名其妙被删掉了,那是杀软的防御,后来才发现原来几乎硬盘中大部分的.exe文件都被感染了,文件字节数变长,但是奇怪的是创建时间和修改时间都没有任何变化,杀软可以清除文件中的病毒,修复以后文件的修改时间倒是发生了变化。
没有找到病毒的主体,甚至我都不知道什么时候如何中毒的。也不知道是不是杀软的误报。

今天在另外一台没人用的办公电脑上也发现了同样的病毒,机器只是局域网中的一台,没有人用过,同样完全不知道是什么时候如何中毒的。

我只能怀疑是同事U盘的驱动中会不会绑了什么恶意代码。

自己用WinHex对比了一下原文件、染毒文件、恢复的文件,确实有不同,但是我不会分析16进制的代码。
求大神解疑!最好是能帮忙分析一下此病毒行为与感染途径!
万分感谢!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
小飞侠.net
发表于 2017-3-20 21:07:13 | 显示全部楼层

应发在病毒救援区 ,这个区主要是扫描或HIPS拦截测试

本帖最后由 小飞侠.net 于 2017-3-20 21:12 编辑

360杀毒扫描日志

病毒库版本:2017-03-19 18:20
扫描时间:2017-03-20 21:04:20
扫描用时:00:00:31
扫描类型:右键扫描
扫描文件总数:7
项目总数:1
清除项目数:0

扫描选项
----------------------
扫描所有文件:是
扫描压缩包:是
发现病毒处理方式:由用户选择处理
扫描磁盘引导区:是
扫描 Rootkit:是
使用云查杀引擎:是
使用QVM人工智能引擎:是
扫描建议修复项:是
常规引擎设置:Avira(小红伞)

扫描内容
----------------------
文件名称: C:\Users\xfxnet2000\Desktop\MX Player Pro\刘嘉欣\7346797\958202\952802\王馨妍\Windows Defender\AVTestZipX\文件传送机virus.rar
文件大小: 452 KB (463,485 字节)
修改时间: 2017年03月20日,21:03:21
MD5: 9452A072822693C8D91EAB76EEF33128
SHA1: 554735367F51FAE406C7664DE5DDF3E253132BD4
SHA256: 3526C30B651EAC0EA28F8CD50315505E2E876A179EDFCF132661FCB11E4B6521
CRC32: 82799F7A
计算时间: 0.00s




扫描结果
======================
高危风险项
----------------------
C:\Users\xfxnet2000\Desktop\MX Player Pro\刘嘉欣\7346797\958202\952802\王馨妍\Windows Defender\AVTestZipX\文件传送机virus.rar=>文件传送机v.exe        Virus.Win32.Alman.C        未处理

检出率:        44 / 55
Antivirus scan for 3526c30b651eac0ea28f8cd50315505e2e876a179edfcf132661fcb11e4b6521 at UTC - VirusTotal  https://www.virustotal.com/zh-cn ... nalysis/1490015329/


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
asdfgqwerty
 楼主| 发表于 2017-3-20 21:11:24 | 显示全部楼层
小飞侠.net 发表于 2017-3-20 21:07
360杀毒扫描日志

病毒库版本:2017-03-19 18:20

对对,就是这个什么Alman.C的,我中午在XP虚拟机上运行了一下,XP虚拟机就直接开机进入桌面以后自动崩溃,还好我提前做了个虚拟机克隆,不然又得重新装一遍了。
小飞侠.net
发表于 2017-3-20 21:16:15 | 显示全部楼层
asdfgqwerty 发表于 2017-3-20 21:11
对对,就是这个什么Alman.C的,我中午在XP虚拟机上运行了一下,XP虚拟机就直接开机进入桌面以后自动崩溃 ...

你在虚拟机先试试360系统急救箱,看看能不能解决?
asdfgqwerty
 楼主| 发表于 2017-3-20 21:18:10 | 显示全部楼层
本帖最后由 asdfgqwerty 于 2017-3-20 21:21 编辑
小飞侠.net 发表于 2017-3-20 21:16
你在虚拟机先试试360系统急救箱,看看能不能解决?


我的虚拟机开机以后进入桌面,鼠标都没来得及动一下就直接弹出来了。。。

主要是想求大神帮我分析一下此病毒的行为,还有感染来源,万分感谢啊!
心醉咖啡
发表于 2017-3-20 21:48:04 | 显示全部楼层
电脑管家

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
asdfgqwerty
 楼主| 发表于 2017-3-20 21:49:45 | 显示全部楼层

重点是行为分析和感染来源分析,谢谢大家!
iduserid
发表于 2017-3-20 23:21:33 | 显示全部楼层
asdfgqwerty 发表于 2017-3-20 21:49
重点是行为分析和感染来源分析,谢谢大家!

这里没人分析的,大家都是发日志混积分的,

你可以发,火绒官方论坛,说不定他们会回答你的问题。--有时他们回复得详细。
也可以找“凝逸反病毒”,那作者比较认真,说不定会回复你。
ShirahimeKanata
发表于 2017-3-21 00:25:22 | 显示全部楼层
本帖最后由 ShirahimeKanata 于 2017-3-21 00:31 编辑
asdfgqwerty 发表于 2017-3-20 21:49
重点是行为分析和感染来源分析,谢谢大家!


在线行为分析
https://www.hybrid-analysis.com
https://www.metadefender.com
https://valkyrie.comodo.com
https://habo.qq.com
https://maldun.com


在线多引擎扫描
https://www.virustotal.com
https://virusscan.jotti.org
https://x.threatbook.cn


绿色扫描器
Dr.Web CureIt
Emsisoft Emergency Kit
Kaspersky Virus Removal Tool


本地行为分析
火绒、火绒剑
各个HIPS
沙盘

谁来at下雷锋,他有个文件分析软件来着
540923555
发表于 2017-3-21 08:16:38 | 显示全部楼层
本帖最后由 540923555 于 2017-3-21 08:48 编辑

感染途径这东西怎么帮你分析。。。。U盘,网页,,局域网,都可能入侵,病毒文件是感染性病毒又不代表他不能通过网页上的恶意脚本下载传染

顺便说一句,U盘的驱动是你自己电脑里的,不是别人U盘带的

你想要的分析我觉得百度百科里挺全的了。。
http://baike.baidu.com/link?url= ... uvABv0EEO7efhrM3ov7

补一个腾讯哈勃的分析
https://habo.qq.com/file/showdetail?pk=ADEGZ11oB28IPls1
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-28 17:13 , Processed in 0.128468 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表