病毒分析报告-样本MD5:7BF49CD89EAEF7FBAD1151D2B1BD9126

最新推荐文章于 2024-11-20 00:07:04 发布
原创 最新推荐文章于 2024-11-20 00:07:04 发布 · 3k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#样本分析

0.如何查杀及样本评点请看文末

+——————————————————–+
+ 获取日期: 2015-07-13 +
+ 样本来源: 精锐 +
+——————————————————–+

1.特征

+——————————————————–+
+ 样本编号: 07 +
+ 样本名称: 无名称信息 +
+ 样本大小: 80384 字节 +
+ 样本MD5 : 7BF49CD89EAEF7FBAD1151D2B1BD9126+
+—SHA256: D3EB9AA5753BE2925E4CEA053E7D944D8CB2C3C758B0943756DA577493EF0D67+
+——————————————————–+

2.外部特征

//Logo,属性,证书,etc.
图标:无
链接时间:2015.07.11/01:51:26
源文件名:gg.exe
产品名称:gg.exe
Assembly Version:0.0.0.0
证书:无
编译工具等信息:
Babel v7.0.0.NET Obfuscator
Borland Delphi 2006/2007 - www.borland.com [ * Internet Behavior on ->> wsock32.dll

3.行为

0 . 运行环境
xp

1 . 进程

创建新进程:
C:\Documents and Settings\Administrator\Local Settings\Temp\server.exe(自身的拷贝)
创建新线程:
加载了mscoree.dll
加载了mscorwks.dll

创建新进程
C:\WINDOWS\system32\netsh.exe(微软网络配置服务)

2 . 文件行为

释放如下文件:

C:\Documents and Settings\Administrator\Local Settings\Temp\server.exe(自身的拷贝)
C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\b89abee708c08a62a4f92ccac672ebca.exe(自身的拷贝)

删除如下文件:

感染如下文件:

3 . 网络行为

3.1 解析域名

samo22.no-ip.org

3.2 数据交互

4 . 行为

4.1 系统服务

4.2 注册表

.1
键值
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders

AppData
数据
C:\Documents and Settings\Administrator\Application Data

.2
键值
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders

Cache
数据
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files

.3
键值
HKU\S-1-5-21-2025429265-1644491937-1177238915-500
值: di
数据:!

.4
键值
HKCU\Environment
值:SEE_MASK_NOZONECHECKS
数据:1

.5
键值
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
值:b89abee708c08a62a4f92ccac672ebca
数据:”C:\Documents and Settings\Administrator\Local Settings\Temp\server.exe”..

.6
键值
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
值:b89abee708c08a62a4f92ccac672ebca
数据:”C:\Documents and Settings\Administrator\Local Settings\Temp\server.exe”..

.7
键值
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
值:Startup
数据:C:\Documents and Settings\Administrator\「开始」菜单\程序\启动

.8创建
键值
HKCU\Software\b89abee708c08a62a4f92ccac672ebca
值:N/A
数据:N/A

.8
键值
HKCU\Software\b89abee708c08a62a4f92ccac672ebca
值:[kl]
数据:N/A

样本配置netsh导致对注册表的改变:
net1
net2

4.3内存操作
netsh firewall add allowedprogram “C:\Documents and Settings\Administrator\Local Settings\Temp\server.exe” “server.exe” ENABLE

5 . 自我保护

无.

6 . 总结

该样本是恶意软件.

分析感言

该样本被加壳.且依靠.net运行库运行.对自身隐蔽改名,运行无窗口无提示.添加启动项.将自身添加到防火墙白名单,再通过查询互联网DNS转IP服务期望与远程主机连接.

查杀密招

直接用任务管理器结束掉此程序的主程序.找到对应启动项删除即可.

Docker 入门:容器基本操作
SmartSi
04-30 958
容器是 Docker 的另一个核心概念。简单来说,容器是镜像的一个运行实例。所不同的是,镜像是静态的只读文件,而容器带有运行时需要的可写文件层,同时,容器中的应用进程处于运行状态。
依据病毒MD5排查病毒文件--python、pyinstaller、exe
zhangyuehong66的博客
11-09 1450
先进行python的安装,然后安装python库pyinstaller。后面进行py脚本的编写,最后将py脚本转为exe格式的应用程序,方便在windows终端上运行查找病毒文件。病毒文件的md5放在md5v.ini文件中。
病毒分析报告模板
04-05
病毒分析报告模板,让你的病毒分析跟明了,更规范
络安全实验七 Hash算法MD5分析
qq_64314976的博客
06-22 997
MD5算法简要的叙述可以为:MD5512位分组来处理输入的信息,且每一分组又被划分为16个32位子分组,经过了一系列的处理后,算法的输出由四个32位分组组成,将这四个32位分组级联后将生成一个128位散列值。SHA-1可将一个最大 2的64次方位 的讯息,转换成一串 160位 的讯息摘要,而后四个算法生成的摘要长度为它们名字 后面的数字,如SHA-256算法,它生成的摘要长度为256位,因此它的抗穷举(brute-force)性比MD更好。所有这些完成之后,将A、B、C、D分别加上a、b、c、d。
病毒分析报告-样本MD5 : 1576C10BD588D5EC4F22D43ED83FD2D0
KD的疯狂实验室
07-14 2583
0如何查杀及样本评点请看文末+——————————————————–+ + 获取日期: 2015-07-13 + + 样本来源: 精锐 + +——————————————————–+1.特征+——————————————————–+ + 样本编号: 04 + + 样本名称: xxx.exe + + 样本大小: 675840 字节 + + 样本MD5 : 1576C10BD588D5EC
恶意代码分析模板
热门推荐
hupoling的专栏
12-28 9万+
基本信息   报告名称:                                                       作者:                                                               报告更新日期:                                               样本发现日期:
# docker logs 7f2f6c4eaef6 2025-11-25 03:54:24+00:00 [Note] [Entrypoint]: Entrypoint script for MySQL Server 5.7.44-1.el7 started. 2025-11-25 03:54:24+00:00 [ERROR] [Entrypoint]: mysqld failed while attempting to check config command was: mysqld --verbose --help --log-bin-index=/tmp/tmp.kmnqKwmLyN mysqld: Can't read dir of '/etc/mysql/conf.d/' (Errcode: 2 - No such file or directory) mysqld: [ERROR] Fatal error in defaults handling. Program aborted! 什么意思,如何解决
最新发布
11-26
5. Docker数据卷挂载的最佳实践是什么? ### 问题分析与解决方案 #### 错误原因分析 1. **目录缺失**:`Errcode: 2` 表示 `/etc/mysql/conf.d/` 目录在容器内不存在 2. **配置加载失败**:MySQL启动时需要读取该...
{ "result": "{\"code\": 200, \"data\": {\"themes\": [{\"theme_id\": \"2538d41e-9b1c-4b98-91a2-d3008da18776\", \"theme_desc\": \"\", \"theme_name\": \"对数\", \"status\": 1, \"icon_url\": null, \"greeting\": \"您好,我是智能问数助手\\n你可以问我“对数”相关的问题,快速获取数据结果。\", \"updated_at\": \"2025-07-31 14:35:53\", \"created_at\": \"2025-07-31 14:35:46\"}, {\"theme_id\": \"d2fbb1d1-1052-4441-8678-b4206af1c299\", \"theme_desc\": \"\", \"theme_name\": \"股票基金期货日行情Chat\", \"status\": 1, \"icon_url\": null, \"greeting\": \"您好,我是智能问数助手\\n你可以问我“股票基金期货日行情Chat”相关的问题,快速获取数据结果。\", \"updated_at\": \"2025-07-01 11:21:26\", \"created_at\": \"2025-07-01 11:21:04\"}, {\"theme_id\": \"bf13ffb9-2bbe-42e0-b710-5c266b973678\", \"theme_desc\": \"\", \"theme_name\": \"分支财富顾问客户分析\", \"status\": 1, \"icon_url\": null, \"greeting\": \"您好,我是智能问数助手\\n你可以问我“分支财富顾问客户分析”相关的问题,快速获取数据结果。\", \"updated_at\": \"2025-06-23 16:19:31\", \"created_at\": \"2025-06-23 14:27:46\"}, {\"theme_id\": \"c588e16b-4ee3-4ca3-ad60-3c677dfe7b6e\", \"theme_desc\": \"佣金费率\", \"theme_name\": \"取数场景测试\", \"status\": 1, \"icon_url\": null, \"greeting\": \"您好,我是智能问数助手\\n你可以问我“取数场景测试”相关的问题,快速获取数据结果。\", \"updated_at\": \"2025-06-18 11:05:48\", \"created_at\": \"2025-06-17 11:07:18\"}, {\"theme_id\": \"cb9394fa-3aca-45fa-8317-85a994fdc282\", \"theme_desc\": \"\", \"theme_name\": \"绩效管理平台_指标问答\", \"status\": 1, \"icon_url\": null, \"greeting\": \"您好,我是智能问数助手\\n你可以问我“绩效管理平台_指标问答”相关的问题,快速获取数据结果。\", \"updated_at\": \"2025-06-10 17:02:21\", \"created_at\": \"2025-06-10 17:01:50\"}, {\"theme_id\": \"44e4782c-f272-41a6-8703-3eaef47ac9d5\", \"theme_desc\": \"\", \"theme_name\": \"测试主题\", \"status\": 1, \"icon_url\": null, \"greeting\": \"您好,我是智能问数助手\\n你可以问我“测试主题”相关的问题,快速获取数据结果。\", \"updated_at\": \"2025-05-29 15:28:09\", \"created_at\": \"2025-05-29 15:26:52\"}]}}", "status_code": 200 }
08-02
### 解析包含 JSON 数组的响应数据 在处理包含 JSON 数组的响应数据时,通常会遇到结构化的数据,例如多个主题信息,每个主题包含 `theme_id`、`theme_name` 和 `greeting` 等字段。此类数据可以使用标准的 JSON ...
i春秋-GetFlag(md5加密,字符串比较绕过)
2301_79090248的博客
11-20 727
i春秋-GetFlag(md5加密,字符串比较绕过)
Android_9.0.71_64_BBPJ_abdae8dcb1afb7c70252eaef6d63e9.apk
07-16
Android_9.0.71_64_BBPJ_abdae8dcb1afb7c70252eaef6d63e9.apk
文件MD5指纹查看器
10-19
文件指纹查看器~ 用于校验文件是否一样 可以生成文件的MD5校验码,还可以生成字符的MD5校验码
Android 恶意样本 md5,恶意样本分析手册——常用方法篇
weixin_33187773的博客
05-28 1039
一、文件识别常见的可执行程序格式有PE,ELF,MACH-O等,不同的格式有不同的标志信息(参考理论篇),知道了目标文件的格式后才能确定对应的分析方法和分析工具。可以使用16进制解析器载入可执行程序,然后查看是哪种类型的文件。图:PE文件格式图:ELF文件格式一般二进制文件的前四个字节为文件格式的magic,可以通过从络搜索获得文件的信息,或者使用相关的工具(PEID,file)等进行自动识别。...
Android 恶意样本 md5,【干货分享】恶意样本分析手册——常用方法篇
weixin_32163411的博客
05-28 1231
阅读:5,751图解恶意样本分析的常用方法,你与安全专家的差距只有一篇文章!文件识别常见的可执行程序格式有PE,ELF,MACH-O等,不同的格式有不同的标志信息(参考理论篇),知道了目标文件的格式后才能确定对应的分析方法和分析工具。可以使用16进制解析器载入可执行程序,然后查看是哪种类型的文件。图:PE文件格式图:ELF文件格式一般二进制文件的前四个字节为文件格式的magic,可以通过从络搜索...
Python+Selenium实现爬取anyrun样本md5
yan_star的博客
01-19 761
背景: 之前遇到一个需求,需要看下anyrun一年的新样本。我们库里样本很多,只要有md5,基本许多都可以下到。所以就爬一下anyrun的吧!个人反爬虫技术有限,没想到更好的方法去爬anyrun,用了相对笨的方法Selenium大法。简单分享下,希望大家有所学习! 代码如下 : import time import re import sys from selenium import webdriver from selenium.webdriver.support.wait import WebD
病毒排查【备忘录】
记录并分享学习安全的知识点..
08-11 824
已获取病毒文件的MD5值,在内各计算机中排查是否存在同样的病毒
使用MD5匹配病毒
daineng的专栏
03-02 4353
使用MD5匹配病毒的技术可能不值得一提,但就目前来看这是种简单有效又值得信赖的方法,简单不用说了;有效是因为现在大部分的病毒或者恶意程序都不是感染型的,发放出去后不会变化或者变化有限;值得信赖是因为MD5误报正常文件的几率可以忽略不计。虽然MD5比较简单,但用它来作为病毒引擎的主要方式还有额外的工作,做好它并不容易。首先要从各个信任的源头那里获得病毒MD5,有病毒样本最好,没有关系也不大
MD5解析与示例
红目香薰
06-15 1280
MD5解析与示例
依据病毒MD5排查病毒文件--python、pyinstaller、exe_态势感知md5文件
碧海朝天素
04-16 703
先进行python的安装,然后安装python库pyinstaller。后面进行py脚本的编写,最后将py脚本转为exe格式的应用程序,方便在windows终端上运行查找病毒文件。病毒文件的md5放在md5v.ini文件中。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值