【Backdoor/Hacktool】

显示全部楼层 · 发表于 2015-8-5 13:18:01

点击下载病毒样本

显示全部楼层 · 发表于 2015-8-5 13:35:16

KMS Activator

显示全部楼层 · 发表于 2015-8-5 13:36:03

XywCloud 发表于 2015-8-5 13:35
KMS Activator

这好像只是本体
捆绑了其他病毒

显示全部楼层 · 发表于 2015-8-5 13:39:37

NS
解压时干掉一个

另一个邮件入沙，数字卫士的在线推广……

就不测了……

显示全部楼层 · 发表于 2015-8-5 13:45:17

本帖最后由神迹般存在于 2015-8-5 13:51 编辑

KIS missed
KSN：

（根据显示，是一个KMS激活工具）

（捆绑了360安全卫士）
KMS分析结果：
[mw_shl_code=css,true]基本信息
文件名称：
KMS10.exe
MD5： 2fbee053de0977cb58f2e165e4317754
文件类型： EXE
上传时间： 2015-08-05 13:43:59
出品公司： N/A
版本： 1.0.0.0---1.0.0.0
壳或编译器信息： PACKER:UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
子文件信息：
upx_c_fb42c683dumpFile / 3c8d01928cf2b09d40e699a3b61e356b / EXE
关键行为
行为描述：写权限映射文件
详情信息：
CiceroSharedMemDefaultS-1-5-21-1482476501-1645522239-1417001333-500
MSCTF.MarshalInterface.FileMap.ALI..HEGJG
MSCTF.MarshalInterface.FileMap.ALI.B.HEGJG
MSCTF.MarshalInterface.FileMap.ALI.C.HEGJG
MSCTF.MarshalInterface.FileMap.ALI.D.HEGJG
MSCTF.MarshalInterface.FileMap.ALI.E.HFGJG
MSCTF.MarshalInterface.FileMap.ALI.F.HFGJG
MSCTF.MarshalInterface.FileMap.ALI.G.HFGJG
MSCTF.Shared.SFM.ALI
MSCTF.MarshalInterface.FileMap.ALI.H.ABLNG
MSCTF.MarshalInterface.FileMap.ALI.I.ABLNG
MSCTF.MarshalInterface.FileMap.ALI.J.ABLNG
MSCTF.MarshalInterface.FileMap.ALI.K.ABLNG
MSCTF.MarshalInterface.FileMap.ALI.L.ABLNG
MSCTF.MarshalInterface.FileMap.ALI.M.ABLNG
行为描述：隐藏指定窗口
详情信息：
[Window,Class] = [,ComboLBox]
文件行为
行为描述：写权限映射文件
详情信息：
CiceroSharedMemDefaultS-1-5-21-1482476501-1645522239-1417001333-500
MSCTF.MarshalInterface.FileMap.ALI..HEGJG
MSCTF.MarshalInterface.FileMap.ALI.B.HEGJG
MSCTF.MarshalInterface.FileMap.ALI.C.HEGJG
MSCTF.MarshalInterface.FileMap.ALI.D.HEGJG
MSCTF.MarshalInterface.FileMap.ALI.E.HFGJG
MSCTF.MarshalInterface.FileMap.ALI.F.HFGJG
MSCTF.MarshalInterface.FileMap.ALI.G.HFGJG
MSCTF.Shared.SFM.ALI
MSCTF.MarshalInterface.FileMap.ALI.H.ABLNG
MSCTF.MarshalInterface.FileMap.ALI.I.ABLNG
MSCTF.MarshalInterface.FileMap.ALI.J.ABLNG
MSCTF.MarshalInterface.FileMap.ALI.K.ABLNG
MSCTF.MarshalInterface.FileMap.ALI.L.ABLNG
MSCTF.MarshalInterface.FileMap.ALI.M.ABLNG
其他行为
行为描述：创建互斥体
详情信息：
CTF.LBES.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500
CTF.Compart.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500
CTF.Asm.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500
CTF.Layouts.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500
CTF.TMD.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500
CTF.TimListCache.FMPDefaultS-1-5-21-1482476501-1645522239-1417001333-500MUTEX.DefaultS-1-5-21-1482476501-1645522239-1417001333-500
ArmStrong
MSCTF.Shared.MUTEX.AEH
MSCTF.Shared.MUTEX.ALI
行为描述：查找指定窗口
详情信息：
NtUserFindWindowEx: [Class,Window] = [Shell_TrayWnd,]
NtUserFindWindowEx: [Class,Window] = [CicLoaderWndClass,]
行为描述：隐藏指定窗口
详情信息：
[Window,Class] = [,ComboLBox]
行为描述：窗口信息
详情信息：
Pid = 2220, Hwnd=0x70196, Text = 系统信息, ClassName = TGroupBox.
Pid = 2220, Hwnd=0x60240, Text = KMS模式, ClassName = TComboBox.
Pid = 2220, Hwnd=0x40252, Text = 一键永久激活Windows和Office, ClassName = TButton.
Pid = 2220, Hwnd=0x401ce, Text = KMS10, ClassName = TArmStrongForm.
[/mw_shl_code]
运行截图：

接下来是360安装程序分析结果：
[mw_shl_code=css,true]基本信息
文件名称：
Setup_oemtongyi3.exe
MD5： ed6ff687fee915e03b263e47b72de974
文件类型： EXE
上传时间： 2015-08-05 13:44:06
出品公司： 360.cn
版本： 2.2.1.1001---2, 2, 1, 1001
壳或编译器信息： COMPILER:Microsoft Visual C++ 6.0 [调试]
关键行为
行为描述：写权限映射文件
详情信息：
CiceroSharedMemDefaultS-1-5-21-1482476501-1645522239-1417001333-500
MSCTF.MarshalInterface.FileMap.ECI..PHKIG
MSCTF.MarshalInterface.FileMap.ECI.B.PHKIG
MSCTF.MarshalInterface.FileMap.ECI.C.PHKIG
MSCTF.MarshalInterface.FileMap.ECI.D.PHKIG
MSCTF.MarshalInterface.FileMap.ECI.E.PHKIG
MSCTF.MarshalInterface.FileMap.ECI.F.PIKIG
MSCTF.MarshalInterface.FileMap.ECI.G.PIKIG
MSCTF.Shared.SFM.ECI
MSCTF.MarshalInterface.FileMap.ECI.H.KNJMG
MSCTF.MarshalInterface.FileMap.ECI.I.KNJMG
MSCTF.MarshalInterface.FileMap.ECI.J.KNJMG
MSCTF.MarshalInterface.FileMap.ECI.K.KNJMG
MSCTF.MarshalInterface.FileMap.ECI.L.KNJMG
MSCTF.MarshalInterface.FileMap.ECI.M.KNJMG
行为描述：设置特殊文件夹属性
详情信息：
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5
C:\Documents and Settings\Administrator\Local Settings\History
C:\Documents and Settings\Administrator\Local Settings\History\History.IE5
C:\Documents and Settings\Administrator\Cookies
行为描述：按名称获取主机地址
详情信息：
st.p.360.cn
stun01.sipphone.com
agt.p.360.cn
tr.p.360.cn
文件行为
行为描述：写权限映射文件
详情信息：
CiceroSharedMemDefaultS-1-5-21-1482476501-1645522239-1417001333-500
MSCTF.MarshalInterface.FileMap.ECI..PHKIG
MSCTF.MarshalInterface.FileMap.ECI.B.PHKIG
MSCTF.MarshalInterface.FileMap.ECI.C.PHKIG
MSCTF.MarshalInterface.FileMap.ECI.D.PHKIG
MSCTF.MarshalInterface.FileMap.ECI.E.PHKIG
MSCTF.MarshalInterface.FileMap.ECI.F.PIKIG
MSCTF.MarshalInterface.FileMap.ECI.G.PIKIG
MSCTF.Shared.SFM.ECI
MSCTF.MarshalInterface.FileMap.ECI.H.KNJMG
MSCTF.MarshalInterface.FileMap.ECI.I.KNJMG
MSCTF.MarshalInterface.FileMap.ECI.J.KNJMG
MSCTF.MarshalInterface.FileMap.ECI.K.KNJMG
MSCTF.MarshalInterface.FileMap.ECI.L.KNJMG
MSCTF.MarshalInterface.FileMap.ECI.M.KNJMG
行为描述：创建可执行文件
详情信息：
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\3604.tmpsafe505.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\3603.tmp360net.dll
行为描述：设置特殊文件夹属性
详情信息：
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5
C:\Documents and Settings\Administrator\Local Settings\History
C:\Documents and Settings\Administrator\Local Settings\History\History.IE5
C:\Documents and Settings\Administrator\Cookies
网络行为
行为描述：连接指定站点
详情信息：
InternetConnectA: ServerName = s.360.cn, PORT = 80
InternetConnectA: ServerName = pinst.360.cn, PORT = 80
行为描述：建立到一个指定的套接字连接
详情信息：
127.0.0.1:1037
行为描述：打开HTTP请求
详情信息：
HttpOpenRequestA: s.360.cn:80/safe/instcomp.htm?soft=80&status=1&mid=5dbfe99d33d8e56e1169c3ae5d7c9c97&pid=home&ver=2.2.1.1001, hConnect = 0x00000638
HttpOpenRequestA: pinst.360.cn:80/360safe/bd_oemtongyi3.cab?value=22059, hConnect = 0x000004b0
行为描述：按名称获取主机地址
详情信息：
st.p.360.cn
stun01.sipphone.com
agt.p.360.cn
tr.p.360.cn
注册表行为
行为描述：修改注册表
详情信息：
\REGISTRY\MACHINE\SOFTWARE\360Safe\Liveup\mid
\REGISTRY\MACHINE\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\%temp%\1438753497.323689.exe
其他行为
行为描述：创建互斥体
详情信息：
1830B7BD-F7A3-4c4d-989B-C004DE465EDE 2080
CTF.LBES.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500
CTF.Compart.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500
CTF.Asm.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500
CTF.Layouts.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500
CTF.TMD.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500
CTF.TimListCache.FMPDefaultS-1-5-21-1482476501-1645522239-1417001333-500MUTEX.DefaultS-1-5-21-1482476501-1645522239-1417001333-500
MSCTF.Shared.MUTEX.AEH
MSCTF.Shared.MUTEX.ECI
行为描述：查找指定窗口
详情信息：
NtUserFindWindowEx: [Class,Window] = [Shell_TrayWnd,]
NtUserFindWindowEx: [Class,Window] = [CicLoaderWndClass,]
行为描述：获取系统权限
详情信息：
SE_MANAGE_VOLUME_PRIVILEGE
行为描述：窗口信息
详情信息：
Pid = 2080, Hwnd=0x60240, Text = 安装程序正在加载配置文件，请稍候..., ClassName = Static.
Pid = 2080, Hwnd=0x40248, Text = Progress1, ClassName = msctls_progress32.
Pid = 2080, Hwnd=0x401ce, Text = 360安全中心, ClassName = #32770.
行为描述：直接操作物理设备
详情信息：
\??\PhysicalDrive0
行为描述：样本控制台输出内容
详情信息：
N/A[/mw_shl_code]
运行截图：

只是KMS捆绑了流氓，没有什么异常的，不过也上报了。

显示全部楼层 · 发表于 2015-8-5 13:59:09

EAV KILL

显示全部楼层 · 发表于 2015-8-5 14:05:06

百度未报

显示全部楼层 · 发表于 2015-8-5 15:40:05

小A不杀

显示全部楼层 · 发表于 2015-8-5 15:59:15

Huorong missed all files.

显示全部楼层 · 发表于 2015-8-5 16:50:51

Microsoft : 黑客工具，自动KMS激活

[病毒样本] 【Backdoor/Hacktool】

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块