葫蘆裡賣甚麼藥:"特殊的Swizzor"分析

krmisoys

看到這樣本在各沙盤裡測不出甚麼,在下便對它產生興趣,讓我們來看看這
Swizzor到底是不是真的 .

我們可以看到:

Kaspersky 7.0.0.125 2009.01.29 -
McAfee 5509 2009.01.28 Swizzor.gen
McAfee+Artemis 5509 2009.01.28 Swizzor.gen
Microsoft 1.4205 2009.01.28
TrojanDownloader:Win32/Swizzor.dam

可參考:http://www.virustotal.com/zh-
t ... d69ba8e2bcc635335b1

Kaspersky,AntiVir,ESET也回信說沒問題 .

那我們來看看各Online SandBox的結果:
Norman SandBox

88.exe : Not detected by Sandbox (Signature:
NO_VIRUS)

  [ DetectionInfo ]
    * Filename: C:\analyzer\scan\88.exe.
    * Sandbox name: NO_MALWARE
    * Signature name: NO_VIRUS.
    * Compressed: NO.
    * TLS hooks: NO.
    * Executable type: Application.
    * Executable file structure: DAMAGED.
    * Filetype: PE_I386.

  [ General information ]
    * File length: 360448 bytes.
    * MD5 hash: a87a48db6cdd0cf4ce470f83d2699a41.

Problems found: 1

COMODO SandBox

無任何行為

可參考:http://camas.comodo.com/cgi-bin/ ... 35f983
c41a57e041d

那在虛擬機裡執行呢?VirtualBox裡,執行後,DriveSentry連個鬼影都沒抓到
.

我們用McAfee分析師所用的分析器來看看:


很顯然的,左側函數庫是指定到一堆無用的代碼,根本無任何行為 .

微軟定義的DownLoader都沒看到有任何下載行為 .

可以斷定這是一場烏龍 .

[ 本帖最后由 krmisoys 于 2009-1-29 14:51 编辑 ]

IllusionWing

..是坏的PE格式。OD加载直接进入异常//

krmisoys

原帖由 gankeyu 于 2009-1-29 14:47 发表
..是坏的PE格式。OD加载直接进入异常//

不過Windows倒是沒顯示非正常的Win32應用程式 .

sun88990

這個分析師用的軟體,到底要怎麼看代碼阿..
我也想學學@@

hum

异常代码导致Sandboxie崩溃。

250662772

看着都费劲弄些繁体字干嘛

IllusionWing

繁体地区人士

雨宫优子

原帖由 250662772 于 2009-2-6 19:58 发表
看着都费劲弄些繁体字干嘛

经过确认...楼主来自台湾省.....

qq316107934

运行时怎么不提示:非有效地WIn32程序呢？