病毒分析报告-样本MD5 : 1576C10BD588D5EC4F22D43ED83FD2D0
2015-07-14 22:20
113 查看
0.如何查杀及样本评点请看文末
+——————————————————–++ 获取日期: 2015-07-13 +
+ 样本来源: 精锐 +
+——————————————————–+
1.特征
+——————————————————–++ 样本编号: 04 +
+ 样本名称: 无名称信息 +
+ 样本大小: 675840 字节 +
+ 样本MD5 : 1576C10BD588D5EC4F22D43ED83FD2D0 +
+—SHA256:6CDDDBDE8B72694B9B75F70391B80D09EF94182B98EC2B0F502CAAEC1DD14499+
+——————————————————–+
2.外部特征
//Logo,属性,证书,etc.图标:无
链接时间:2012.04.15/18:06:52
源文件名:MSRSAAP.EXE
产品名称:Remote Service Application
公司:Microsoft Corp.
版权:Copyright (C) 1999
证书:无
编译工具等信息:
Borland Delphi 2006/2007 - www.borland.com [ * Internet Behavior on ->> wsock32.dll
3.行为
0 . 运行环境xp
1 . 进程
创建新进程:
无.
创建新线程:
导入了GdiPlus.dll
2 . 文件行为
释放如下文件:
C:\Documents and Setting\Administrator\Application Data\dclogs\2015-07-13-2.dc
内容摘要:
”’
:: SysTracer - C:\Documents and Settings\Administrator\桌面\可识别1234\可识别\04.vir.exe (12:24:17)
[DOWN][UP][DOWN][UP][DOWN][DOWN][DOWN][DOWN][DOWN][DOWN][UP][UP][UP][UP][UP][UP][DOWN][DOWN][DOWN][DOWN][DOWN][DOWN][DOWN][DOWN][DOWN][UP][UP][UP][UP][UP][UP][UP]
:: PowerTool x86 V4.6 (12:27:10)
:: 04 (12:27:22)
:: PowerTool x86 V4.6 (12:29:39)
:: Clipboard Change : size = 0 Bytes (12:29:39)
:: SysTracer - C:\Documents and Settings\Administrator\桌面\可识别1234\可识别\04.vir.exe (12:29:54)
:: Program Manager (12:32:42)
”’
删除如下文件:
无
感染如下文件:
无
3 . 网络行为
3.1 解析域名
lole.no-ip.biz
3.2 数据交互
无
4 . 行为
4.1 系统服务
无
4.2 注册表
.1创建
HKCU\Software\DC3_FEXEC
.2设置
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
项/键名: AppData
数据: C:\Documents and Settings\Administrator\Application Data
.3设置
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C
键值:BaseClass
数据:Drive
.4设置
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\D
键值:BaseClass
数据:Drive
4.3Hook
1全局钩子
以自身模块为信息设置全局钩子.
5 . 自我保护
无.(有提权操作)
6 . 总结
该样本是恶意软件.
分析感言
该样本属性信息伪装微软程序.使用全局钩子窃取用户键入,属于典型键盘记录程序.通过将用户输入内容记录后发送到一个国外免费静态转动态中转网站(类似于花生壳)来达到窃密的目的.值得注意的是此样本并没有设置启动项的步骤.由于没有加壳又没有任何干扰.行为较为简单.认为这可能是某个新手的试水之作.查杀密招
直接用任务管理器结束掉此程序,并删除以上被添加被修改的注册表项即可.相关文章推荐
- eclipse生成可执行jar包(引入第三方.jar文件)
- silverlight——多次异步调用的顺序执行
- StickyListview 源码简读
- 抽象类、抽象字段、抽象方法
- PL/SQL Developer如何连接64位的Oracle图解
- 数据库索引
- 淘宝 项目 管理
- 关于eclipse新建项目问题
- 一个简单的排序问题
- django 自定义auth的中间件的验证
- 文章标题
- 【一些事晚报】潜伏Uber刷单QQ群,内幕曝光
- A glance on VDBI
- Android之——多线程下载示例
- 十三、网络流
- Neo4j简单的例子
- 关于Android sdkmanager目录结构的总结
- 各种锁
- 读改善c#代码157个建议:建议1~3
- 简单对比Spark和Storm