人人都是病毒专家 · 上传样本火眼鉴定活动

1341767532

卡饭id：1341767532
#爱上火眼，从此成为病毒专家# 
火眼应该会是一个很好的在线沙盘，comodo虽然也有，但是没有中文，不够方便，而且金山火眼还有总结，更适合小白使用。
除了给力，我没有什么好说的了，有了它，甚至不用到云鉴定那里等了，自己分析更给力。

明镜星空

1341767532 发表于 2012-6-29 20:44
卡饭id：1341767532
#爱上火眼，从此成为病毒专家# 
火眼应该会是一个很好的在线沙盘，comodo虽然也 ...

http://bbs.kafan.cn/thread-1315914-1-1.html
是到这个地方申请哦。

明镜星空

宇中之神 发表于 2012-6-29 17:37
1.样本地址：http://bbs.kafan.cn/forum.php?mod=viewthread&tid=1317431#lastpost
2.截图：

注意，是上传“上传历史”的截图，不是火眼报告的截图

chen185102

报告:http://fireeye.ijinshan.com/anal ... 762b69790f2869227cd

基本信息
文件名称：ba79dc66147ff762b69790f2869227cd
文件哈希：ba79dc66147ff762b69790f2869227cd
文件大小：798785字节
创建时间：2012-04-03 01:41:55
文件类型：EXE
PEID信息：MoleBox V2.3X -> MoleStudio.com * Sign.By.fly [Overlay] *
公司描述：TODO: <公司名>
文件描述：TODO: <文件说明>
文件版本：1.0.0.1
版权所有：TODO: (C) <公司名>。保留所有权利。
原始文件名：DingTieJi.exe
产品名称：TODO: <产品名>
产品版本：1.0.0.1
其他行为监控
行为描述：检测是否存在指定注册表键
附加信息：
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Comdlg32
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Network
行为描述：查找文件
附加信息：
"%SampleStore%\Messages.ini"
文件操作监控
操作        文件MD5        文件大小        文件路径
新增        bd2ef76b28c0318f9a3bf07ba0400897        2048        %temp%\MBX@75C@952528.###
新增        9c3d958a109f3caca02140bce4a4f7a1        490        %SampleStore%\Messages.ini
新增        56cd0c7034ac2f5018b95de03c8cbbbd        2048        %temp%\MBX@75C@952518.###
注册表监控 新增删除修改
HKEY_LOCAL_MACHINE\SOFTWARE\DingTieJi
HKEY_LOCAL_MACHINE\SOFTWARE\DingTieJi\PSDKEY
[dwVolumeSNkey] = [0x1e551cf3]
[dwrandnkey] = [0x1ab5d1e4]
HKEY_LOCAL_MACHINE\SOFTWARE\DingTieJi\PSDLOCKER
[dwrandn] = [0x1ab5d1e4]
[dwVolumeSN] = [0x1e551cf3]

chen185102

样本来源：http://bbs.kafan.cn/thread-1317721-1-1.html
火眼报告：http://fireeye.ijinshan.com/anal ... 53389ea282b32e7bf72


基本信息
文件名称：ARES.exe
文件哈希：33e819dd3803153389ea282b32e7bf72
文件大小：830848字节
创建时间：2012-06-30 11:06:03
文件类型：EXE
PEID信息：Borland Delphi 6.0 - 7.0 [Overlay]
其他行为监控
行为描述：加载驱动
附加信息：
\??\%system%\credsspwur.dll
行为描述：添加延迟重命名项，通常用于重启后删除文件
附加信息：
\??\%system%\Drivers\NetSafe.sys
行为描述：查找文件
附加信息：
""
"%system%\*.dll"
"%system%\credsspwur.dll"
"%system%\drivers\NetSafe.sys"
"%system%\drivers\WebSafe.sys"
"%system%\drivers\gamecn.sys"
"%system%\drivers\spgame.sys"
"%system%\drivers\tcpbtext.sys"
"%system%\drivers\yxhh.sys"
"%system%\dvsrec.ini"
"%SampleStore%\ARES.exe"
"%SampleStore%\AsseLoader.dll"
"wvi.dll"
行为描述：设置文件属性
附加信息：
"%system%\dvsrec.ini" >> HIDE
"%system%\dvsrec.ini" >> HIDE >> SYSTEM
行为描述：创建服务
附加信息：
\??\%system%\credsspwur.dll
行为描述：提升权限
附加信息：
"SeLoadDriverPrivilege"
文件操作监控
操作        文件MD5        文件大小        文件路径
新增        d101ab28ff592751d04fb23d14f072c6        1557504        %SampleStore%\AsseLoader.dll
新增        b96995e33004a6c2ee3f26c1c39b77f6        129        %system%\dvsrec.ini
新增        3bb22519a194418d5fec05d800a19ad0        36608        %system%\drivers\Gplgn.sys
新增        0d3a8fafceacd8b7625cd549757a7df1        20992        %system%\credsspwur.dll
进程操作监控
创建进程：%SampleStore%\AsseLoader.dll
启动参数：无
注册表监控 新增删除修改
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa
[Uppers] = [0x00000001]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\NetSafe
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Network
[SecurityC] = [\xf9\x43\x66\x57\xf4...]
[SecurityD] = [\xf9\x43\x66\x57\xf4...]
[AuthenticationC] = [\xf9\x43\x66\x57\xf4...]
[AuthenticationD] = [\xf9\x43\x66\x57\xf4...]
[SupportedConnect] = [\xc7\xfe\xec\x77]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager
[PendingFileRenameOperations] = [\??\%system%\Drivers\NetSafe.sys]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CREDSSPWUR
[NextInstance] = [0x00000001]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CREDSSPWUR\0000
[DeviceDesc] = [credsspwur]
[Class] = [LegacyDriver]
[Legacy] = [0x00000001]
[ClassGUID] = [{8ECC055D-047F-11D1-A537-0000F8753ED1}]
[ConfigFlags] = [0x00000000]
[Service] = [credsspwur]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CREDSSPWUR\0000\Control
[*NewlyCreated*] = [0x00000000]
[ActiveService] = [credsspwur]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\credsspwur
[ImagePath] = [\??\%system%\credsspwur.dll]
[ErrorControl] = [0x00000000]
[Start] = [0x00000001]
[Type] = [0x00000001]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\credsspwur\Enum
[0] = [Root\LEGACY_CREDSSPWUR\0000]
[Count] = [0x00000001]
[NextInstance] = [0x00000001]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Ip6Fw
[Start] = [0x00000001]
[ImageData] = [\x47\x00\x70\x00\x6c...]
[Control] = [0x00000003]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
[Uppers] = [0x00000001]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\NetSafe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Network
[SecurityD] = [\xf9\x43\x66\x57\xf4...]
[SecurityC] = [\xf9\x43\x66\x57\xf4...]
[SupportedConnect] = [\xc7\xfe\xec\x77]
[AuthenticationD] = [\xf9\x43\x66\x57\xf4...]
[AuthenticationC] = [\xf9\x43\x66\x57\xf4...]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager
[PendingFileRenameOperations] = [\??\%system%\Drivers\NetSafe.sys]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CREDSSPWUR
[NextInstance] = [0x00000001]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CREDSSPWUR\0000
[Legacy] = [0x00000001]
[Class] = [LegacyDriver]
[Service] = [credsspwur]
[ClassGUID] = [{8ECC055D-047F-11D1-A537-0000F8753ED1}]
[ConfigFlags] = [0x00000000]
[DeviceDesc] = [credsspwur]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CREDSSPWUR\0000\Control
[ActiveService] = [credsspwur]
[*NewlyCreated*] = [0x00000000]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\credsspwur
[ImagePath] = [\??\%system%\credsspwur.dll]
[Type] = [0x00000001]
[Start] = [0x00000001]
[ErrorControl] = [0x00000000]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\credsspwur\Enum
[Count] = [0x00000001]
[NextInstance] = [0x00000001]
[0] = [Root\LEGACY_CREDSSPWUR\0000]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ip6Fw
[Start] = [0x00000001]
[ImageData] = [\x47\x00\x70\x00\x6c...]
[Control] = [0x00000003]
网络监控
网络操作
【访问网址】http://xml.btplay.net:83/union/index.php/setup/add?mac=[MAC-ADDRESS]&disk=9...

流沙松林

样本：http://www.qqqcf.com/down/17.html
火眼报告：http://fireeye.ijinshan.com/analyse.html?md5=46c75c507915d340b58f8eff1e749671
展开所有信息
基本信息
文件名称：qqqwg.com_CF雪女透视.rar
文件哈希：46c75c507915d340b58f8eff1e749671
文件大小：363455字节
创建时间：2012-06-30 20:27:46
文件类型：RAR
PEID信息：Not a valid PE file
文件注释：
公司描述：
文件描述：
文件版本：
版权所有：
合法商标：
原始文件名：
产品名称：
产品版本：
危险行为监控
行为描述：疑似查找游戏进程
附加信息：CROSSFIRE.EXE [穿越火线 ]

CROSSFIRE.EXE [穿越火线]

dljsxyls

样本地址 http://bbs.kafan.cn/thread-1267801-1-1.html
火眼分析地址 http://fireeye.ijinshan.com/anal ... e85b7ed54bed3203cd0

文件名称：移动联通返利调整通知.jpg
文件哈希：18edd55cba703e85b7ed54bed3203cd0
文件大小：153418字节
创建时间：2012-07-01 10:34:41
文件类型：Unknown
PEID信息：Not a valid PE file
文件注释：
公司描述：
文件描述：
文件版本：
版权所有：
合法商标：
原始文件名：
产品名称：
产品版本：
危险行为监控
其他行为监控 文件操作监控
进程操作监控
注册表监控 新增 删除 修改 网络监控
运行截图
这个病毒程序火眼啥也没分析出来，需要改进

陌上~烟雨遥

样本地址：http://bbs.kafan.cn/thread-1318473-1-1.html

火眼报告地址：http://fireeye.ijinshan.com/analyse.html?md5=431e4cd5fca97f95a197950918b8bec6

火眼报告（部分）：基本信息：
               文件名称：431E4CD5FCA97F95A197950918B8BEC6_DTimer.exe
               文件哈希：431e4cd5fca97f95a197950918b8bec6
               文件大小：1322582字节
               创建时间：2012-07-01 11:27:31
               文件类型：EXE
               PEID信息：Armadillo 3.78 - 4.xx -> Silicon Realms Toolworks [Overlay]
               公司描述：Fox Magic Software
               文件描述：Diagnostic Utility
               文件版本：1, 1, 0, 1
               版权所有：Copyright (c) 2007, Fox Magic Software
               原始文件名：Diag
               产品名称：Diag
               产品版本：1, 1, 0, 1
             其他行为监控：

• 行为描述：创建互斥体
  附加信息：
  "E8375B1A::WK"
  "RALE8375B1A"
  NULL
• 行为描述：检测是否存在指定注册表键
  附加信息：
  HKEY_LOCAL_MACHINE\Software\Licenses
  HKEY_LOCAL_MACHINE\Software\The Silicon Realms Toolworks\Armadillo
• 行为描述：查找文件
  附加信息：
  "C:\*"
  "%windir%\*"
  "%system%\*"
  "%temp%\*"
  "%SampleStore%\*"
• 行为描述：搜索指定窗口
  附加信息：
  ["FileMonClass" , ""]
  ["PROCMON_WINDOW_CLASS" , ""]
  ["RegMonClass" , ""]
  上传历史截图：
  
  
  

流沙松林

样本：http://115.com/file/bemhlgnd#wgtt.zip
火眼地址：http://fireeye.ijinshan.com/analyse.html?md5=436640ccf31d6c17ee81023eda80fa1b

基本信息
文件名称：wgtt.zip
文件哈希：436640ccf31d6c17ee81023eda80fa1b
文件大小：56659字节
创建时间：2012-07-01 15:57:08
文件类型：ZIP
PEID信息：Not a valid PE file
文件注释：
公司描述：
文件描述：
文件版本：
版权所有：
合法商标：
原始文件名：
产品名称：
产品版本：
危险行为监控
行为描述：疑似捆绑多个文件，警惕流氓软件捆绑推广或病毒捆绑传播
附加信息：5011.exe

cf外{过}{滤}挂.exe


其他行为监控 行为描述：创建互斥体
附加信息：NULL


行为描述：检测是否存在指定注册表键
附加信息：HKEY_CURRENT_USER\Software\TaMengDownloader

HKEY_LOCAL_MACHINE\SOFTWARE\CPAXP

HKEY_LOCAL_MACHINE\Software\Microsoft\91801

HKEY_LOCAL_MACHINE\Software\Microsoft\DClock0


行为描述：添加开机自启动项
附加信息：[Userinit] : %system%\userinit.exe,%AllUsersProfile%\Application Data\DownloadSave\oxazysv...


文件操作监控
操作 文件MD5 文件大小 文件路径
释放后删除 cf0d7a6146063a9d496a36d358ca1437 260 %AllUsersProfile%\Application Data...
释放后删除 115b5de456b38a3d2d11a669d1091cd4 82944 %temp%\5011.exe
新增 e0e416d6908707a9edc1a2430d4c7497 5324800 %AllUsersProfile%\Application Data...
新增 e0e416d6908707a9edc1a2430d4c7497 5324800 %AllUsersProfile%\Application Data...
新增 d41d8cd98f00b204e9800998ecf8427e 0 %AllUsersProfile%\Application Data...
新增 d41d8cd98f00b204e9800998ecf8427e 0 %AllUsersProfile%\Application Data...
新增 7acd341e14a9abac91747ce96c918e3b 5184 %temp%\CF外{过}{滤}挂.exe
新增 d41d8cd98f00b204e9800998ecf8427e 0 %AllUsersProfile%\Application Data...
新增 ce1fcdd7b7efc014efcf3e212a897383 1064 %temp%\Protected.cpp
进程操作监控
创建进程：%temp%\CF外{过}{滤}挂.exe
启动参数：无
创建进程：%temp%\5011.exe
启动参数：无
创建进程：%AllUsersProfile%\Application Data\DownloadSave\ oxazysv.exe
启动参数：无
创建进程：%AllUsersProfile%\Application Data\DownloadSave\oxazysv.exe
启动参数：无注册表监控 新增 删除 修改 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
[Userinit] = [%system%\userinit.exe,%AllUsersProfile%\Application Data\DownloadSave\oxazys...

宇中之神

样本地址：http://bbs.kafan.cn/thread-1318627-1-1.html
基本信息
文件名称：svchost.pif
文件哈希：2e3a3ae865565f7325340fc3620e58f6
文件大小：201764字节
创建时间：2012-07-01 18:17:45
文件类型：RAR
PEID信息：Nothing found [RAR SFX] *
火眼报告：
https://fireeye.ijinshan.com/ana ... f7325340fc3620e58f6