求高人解释一个病毒行为分析（添加样本）求教学

显示全部楼层 · 发表于 2013-4-15 17:02:44

sanhu35 发表于 2013-4-15 16:56
你不要管他描述的是神马代码调用机制，你只要知道是把病毒代码注入到cmd.exe就行了。

它就算是说火星、 ...

行为描述：启动宿主进程，注入代码，修改EIP执行自己的代码，偷梁换柱，使用户认为是正常的进程
附加信息：%system%\cmd.exe
行为描述：运行后删除自身，警惕恶意软件
附加信息：行为描述：通过APC调用机制，远程注入代码并执行附加信息：其他行为监控行为描述：绑定监听端口
附加信息：0.0.0.0:0
0.0.0.0:16471
行为描述：在其他进程中申请内存
附加信息：%system%\cmd.exe
行为描述：添加开机自启动项
附加信息：[NULL] - C:\RECYCLER\S-1-5-18\$9ad79d202f3d9e4d4d46d023d3130a36\n.
行为描述：创建互斥体
附加信息："\BaseNamedObjects\Restricted\{0C5AB9CD-2F90-6754-8374-21D4DAB28CC1}"
"\BaseNamedObjects\Restricted\{A3D35150-6823-4462-8C6E-7417FF841D77}"
"\BaseNamedObjects\Restricted\{A3D35150-6823-4462-8C6E-7417FF841D78}"
行为描述：创建进程
附加信息：%system%\cmd.exe
行为描述：提升权限
附加信息："SeDebugPrivilege"
行为描述：设置远程线程上下文
附加信息：%system%\cmd.exe
为嘛注入了2次呢？还有后面的行为描述，能解释下吗。坐等

显示全部楼层 · 发表于 2013-4-15 17:48:15

显示全部楼层 · 发表于 2013-4-15 18:26:18

guochengguang 发表于 2013-4-15 17:02
行为描述：启动宿主进程，注入代码，修改EIP执行自己的代码，偷梁换柱，使用户认为是正常的进程
附加信息 ...

注入100次也是注入，难道病毒只会操作一次吗。

火眼有些信息直接忽略就行了。

显示全部楼层 · 发表于 2013-4-15 18:31:54

过微点扫描。。

双击。。。主防秒杀。

显示全部楼层 · 发表于 2013-4-15 18:47:09

sanhu35 发表于 2013-4-15 18:26
注入100次也是注入，难道病毒只会操作一次吗。

火眼有些信息直接忽略就行了。

那么我们看一系列的行为分析主要看的点是哪些呢。它的那些行为是为什么要产生的是为了达到什么目的呢！劳烦大侠了

[:05

显示全部楼层 · 发表于 2013-4-15 19:09:08

毒霸

显示全部楼层 · 发表于 2013-4-15 19:30:27

guochengguang 发表于 2013-4-15 18:47
那么我们看一系列的行为分析主要看的点是哪些呢。它的那些行为是为什么要产生的是为了达到什么目的呢！ ...

这个不是一两个回帖能解决的。想学的话还是看一些专门的书籍吧。可以参考看雪安全书库

显示全部楼层 · 发表于 2013-4-15 19:46:18

管家、猎豹杀

显示全部楼层 · 发表于 2013-4-16 10:03:46

真小读者发表于 2013-4-15 19:30
这个不是一两个回帖能解决的。想学的话还是看一些专门的书籍吧。可以参考看雪安全书库

散客游

显示全部楼层 · 发表于 2013-4-16 10:39:42

文件名: 4738395.exe
威胁名称: SONAR.Heuristic
完整路径: 不可用

____________________________

详细信息
极少用户信任的文件, 极新的文件, 风险高

原始
下载自 未知

活动
已执行的操作: 4

____________________________

在电脑上的创建时间 2013-4-16 ( 10:39:02 )
上次使用时间 2013-4-16 ( 10:39:02 )
启动项目否
已启动是

____________________________

极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。

极新的文件
该文件已在不到 1 周前发行。

高
此文件具有高风险。

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________

来源: 外部介质
源文件:
winrar.exe创建的文件:
4738395.exe

____________________________

文件操作

文件: f:\norton样本\特殊\4738395.exe已删除
____________________________

系统设置操作

事件: 进程启动 (执行者 f:\norton样本\特殊\4738395.exe, PID:460)未采取操作
事件: 进程启动: f:\norton样本\特殊\4738395.exe, PID:460 (执行者 f:\norton样本\特殊\4738395.exe, PID:460)未采取操作
____________________________

可疑操作

事件: 尝试在进程地址空间内启动远程线程 (执行者 f:\norton样本\特殊\4738395.exe, PID:460)未采取操作
____________________________

文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

[病毒样本] 求高人解释一个病毒行为分析（添加样本）求教学

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源