又抓到一个木马，盗微博的，有木有大牛给分析一下

火雪心

可以过360 管家，国产基本全军覆没

willjjyu

1. 文件名        广告语.pif
   
2. SHA1        7f3b217a47642014127f081a01e0411d7b16d31c             查询VirusTotal扫描结果
   
3. MD5        aded848b0b7f513910299c81e7ae465d
   
4. 文件大小        143.74 KB
   
5. 文件类型        pif

复制代码

1. 恶意行为类目
   
2. 行为类别        危害等级        类目行为代表
   
3. 分析开始        [敏感]        动态分析开始
   
4. 分析引擎信息        [敏感]        9.8, 40, 2017-11-23_13:57:30==2017-11-23_13:57:32
   
5. 进程开始执行        [敏感]        被 vasstarter.exe（ 1676）创建的进程开始执行
   
6. 加载模块        [敏感]        加载模块 HarddiskVolume1\WINDOWS\system32\shlwapi.dll
   
7. 创建或修改系统文件        [高危]        创建或修改文件 HarddiskVolume1\WINDOWS\Temp\bluesoleilSetup.log
   
8. 读取系统文件        [中危]        读取文件 HarddiskVolume1\WINDOWS\Temp\bluesoleilSetup.log
   
9. 创建进程        [高危]        创建进程 C:\vastest\Packet\vcredist_x86.exe /s /v "/qn"
   
10. 分析结束        [敏感]        动态分析结束

复制代码

1. 典型联网活动追踪           联网活动下载
   
2. 协议        源地址        目标地址        长度        网络数据
   
3. DNS        10.0.2.15        10.0.2.3        90        Standard query A www.download.windowsupdate.com
   
4. DNS        10.0.2.3        10.0.2.15        106        Standard query response A 192.168.4.35
   
5. TCP        10.0.2.15        192.168.4.35        62        iad2 > http [SYN] Seq=0 Win=65535 Len=0 MSS=1460 SACK_PERM=1
   
6. TCP        192.168.4.35        10.0.2.15        58        http > iad2 [SYN, ACK] Seq=0 Ack=1 Win=8192 Len=0 MSS=1460
   
7. TCP        10.0.2.15        192.168.4.35        60        iad2 > http [ACK] Seq=1 Ack=1 Win=65535 Len=0
   
8. HTTP        10.0.2.15        192.168.4.35        294        GET /msdownload/update/v3/static/trustedr/en/authrootseq.txt HTTP/1.1
   
9. TCP        192.168.4.35        10.0.2.15        54        http > iad2 [ACK] Seq=1 Ack=241 Win=8760 Len=0
   
10. HTTP        192.168.4.35        10.0.2.15        238        HTTP/1.1 200 OK (text/plain)
    
11. TCP        192.168.4.35        10.0.2.15        54        http > iad2 [FIN, ACK] Seq=185 Ack=241 Win=8760 Len=0
    
12. TCP        10.0.2.15        192.168.4.35        60        iad2 > http [ACK] Seq=241 Ack=186 Win=65351 Len=0

复制代码

virustotal:https://www.virustotal.com/#/file/d3b60c4b38c763b4361b611da38cecdb112fa4b413d97826bd9e7cd80b854f85/detection
检测0

火雪心

willjjyu 发表于 2017-11-23 14:17
virustotal:https://www.virustotal.com/#/file/d3b60c4b38c763b4361b611da38cecdb112fa4b413d97826bd9e7cd ...

这么高级？他源文件还有4个图片。，能不能跟图片关联的

a1230303

居然无法下载，能给个链接吗

aboringman

只是个快捷方式？程序呢？

火雪心

aboringman 发表于 2017-11-23 14:48
只是个快捷方式？程序呢？

那个不是快捷方式，一个是类似DOS的东西

ELOHIM

SCEP MISS

a445441

虚拟机运行不起来

darkwhite_7

火雪心 发表于 2017-11-23 14:59
那个不是快捷方式，一个是类似DOS的东西

Avast miss

ziyerain2015

360 MISS
反虚拟机的吧
1年前不就有了