恶意代码分析实例.docx
- 文档编号:11967625
- 上传时间:2023-04-16
- 格式:DOCX
- 页数:34
- 大小:1.20MB
恶意代码分析实例.docx
《恶意代码分析实例.docx》由会员分享,可在线阅读,更多相关《恶意代码分析实例.docx(34页珍藏版)》请在冰豆网上搜索。
恶意代码分析实例
恶意代码实例分析
2011年5月
目录
1虚拟环境及所用软件介绍1
1.1虚拟环境介绍1
1.1.1VmwareWorkstation7.1.41
1.1.2GostXPSP3装机版YN9.91
1.2检查软件介绍1
1.2.1ATool1.0.1.01
1.2.2Regmon7.04汉化版1
1.2.3FileMon7.04汉化版1
1.2.4TCPView3.042
1.2.5procexp.exe2
1.2.6IceSword1.22中文版2
2木马冰河分析与检测3
2.1木马冰河V2.2介绍3
2.2样本分析3
2.2.1进程监测3
2.2.2文件监测3
2.2.3注册表监测4
2.2.4系统通信端口监测4
2.3样本外部特征总结5
2.4木马清除方法5
3xueranwyt.exe木马分析与监测6
3.1木马xueranwyt.exe介绍6
3.2样本分析6
3.2.1进程监测6
3.2.2文件监测6
3.2.3注册表监控7
3.2.4端口监测7
3.3样本外部特征总结7
3.4解决方案8
42.exe木马分析与监测9
4.1木马样本2.exe介绍9
4.2样本分析9
4.2.1进程监控9
4.2.2文件监控9
4.2.3注册表监控10
4.2.4端口检测10
4.3样本外部特征总结11
4.4解决方案11
5红蜘蛛样本分析与检测12
5.1样本介绍12
5.2样本分析12
5.2.1进程检测12
5.2.2文件检测12
5.2.3注册表监控13
5.2.4端口监控13
5.3样本外部特征总结13
5.4解决方案13
6031gangsir.ch.exe样本分析14
6.1样本介绍14
6.2样本分析14
6.2.1进程监控14
6.2.2文件监控14
6.2.3注册表监控15
6.2.4端口监控15
6.3样本特征总结15
6.4解决方案16
7015gangsir.CN.exe样本监测与分析17
7.1样本简介17
7.2样本分析17
7.2.1进程监控17
7.2.2文件监控17
7.2.3注册表监控18
7.2.4端口监控18
7.3样本外部特征总结18
7.4解决方案19
8027gangsir.CN.exe样本监测与分析20
8.1样本信息介绍20
8.2样本分析20
8.2.1进程监控20
8.2.2文件监控20
8.2.3注册表监控20
8.2.4端口监控21
8.3样本外部特征总结21
8.4解决方案22
9050gangsir.CN.exe样本分析与监测23
9.1样本简介23
9.2样本分析23
9.2.1进程监控23
9.2.2文件监控23
9.2.3注册表监控24
9.2.4端口监控24
9.3样本外部特征总结24
9.4解决方案24
1025
10.1样本简介25
10.2样本分析25
10.2.1进程监控25
10.2.2文件监控25
10.2.3注册表监控26
10.2.4端口监控26
10.3样本外部特征总结26
10.4解决方案27
11NetThief12.9样本分析与检测28
11.1样本简介28
11.2样本分析28
11.2.1进程监控28
11.2.2文件监控28
11.2.3注册表监控28
11.2.4端口监控29
11.3样本外部特征总结29
11.4解决方案29
1虚拟环境及所用软件介绍
1.1虚拟环境介绍
1.1.1VmwareWorkstation7.1.4
恶意代码具有很强的破坏性和传播性,为了系统的安全,所以实例的分析均在虚拟机下进行。
所用虚拟机版本为VmwareWorkstation7.1.4。
1.1.2GostXPSP3装机版YN9.9
所用操作系统为WindowsXPSP3,并打了微软发布的补丁。
其他的Windows环境哪?
Vista,Windows7、Windows2008?
1.2检查软件介绍
1.2.1ATool1.0.1.0
ATool是安天实验室开发的一款安全管理工具集,包含了多款实用的系统工具,能够实现用户对系统的安全管理,同时针对系统中的木马、后门、黑客工具等恶意程序进行检测并辅助用户进行处理。
ATool专门提供了分析模块,能够实现基于条件加权的未知木马检测体制,对系统中端口、进程、服务、启动项、插件等内容进行严格的行为判断和特征分析,形成对每个文件的受信状态判定。
给出公司或(和)软件下载的URL
1.2.2Regmon7.04汉化版
Regmon是一款出色的注册表数据监视软件,它将与注册表数据相关的一切操作(如读取、修改、出错信息等)全部记录下来供用户参考,并允许用户对记录的信息进行保存、过滤、查找等处理。
给出公司或(和)软件下载的URL
1.2.3FileMon7.04汉化版
Filemon是一款出色的文件系统监视软件,它可以监视应用程序进行的文件读写操作。
它将所有与文件一切相关操作(如读取、修改、出错信息等)全部记录下来以供用户参考,并允许用户对记录的信息进行保存、过滤、查找等处理。
给出公司或(和)软件下载的URL
1.2.4TCPView3.04
TCPView是查看端口和线程的。
只要木马在内存中运行,一定会打开某个端口,只要黑客进入你的电脑,就有新的线程。
给出公司或(和)软件下载的URL
1.2.5procexp.exe
一个进程查看器,能看到进程里面的DLL等信息。
可以对进程插入的木马进行查找。
给出公司或(和)软件下载的URL
1.2.6IceSword1.22中文版
冰刃内部功能是十分强大,用于查探系统中的幕后黑手-木马后门,并作出处理。
IceSword使用了大量新颖的内核技术,使得这些后门躲无所躲。
给出公司或(和)软件下载的URL
更多的监控软件:
//和石云峰一起列齐,主要的监控分析工具,并下载、打包、刻盘
进程、内核、驱动、服务、启动项等监控,以及动态、静态的分析软件和工具,再补充完整。
2木马冰河分析与检测
2.1木马冰河V2.2介绍
冰河开发的最初源因是为了开发一个功能强大的远程控制软件。
但一经推出就成了黑客们的入侵工具。
2006年以前冰河一直是国内不动摇的领军木马。
功能有自动跟踪目标机屏幕变化、记录各种口令信息、获取系统信息、限制系统功能、远程文件操作、远程文件操作等……
//首先要说明木马、恶意代码的样本情况(文件包)以下同
//需要介绍、展示木马安装运行后,Client和Server端的运行界面、功能和危险/破坏情况。
//其他的恶意代码(病毒等),也要写清楚以上的基本信息,如:
病毒的发作条件和破坏情况
2.2样本分析
2.2.1进程监测
从Procexp软件可以明显的看到,有一个KERNEL32.EXE进程(//能否进一步确定该进程调用的模块,进一步找准木马程序)。
这个明显是假装系统进程的木马进程,CPU使用率达到了99%!
如图1:
图1创建木马进程KERNEL32.EXE
2.2.2文件监测
用Filemon监测到,样本先在c:
\Windows\system32目录创建了一个KERNEL32.EXE文件,并往其中写入了大量与自身运行有关的数据。
如图2:
图2创建文件KERNEL32.EXE
然后又在C:
\Windows\system32目录下创建一个名SYSEXPLR.EXE的文件,随后又把查看了电脑文件目录信并把它们写入这两个文件。
如图3:
图3创建文件SYSEXPLR.EXE
2.2.3注册表监测
从Regmon我们可以看出,木马把KERNEL32.EXE注册成了服务。
并把KERNEL32.EXE注册为开机启动。
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\(DefaultSUCCESS"C:
\WINDOWS\system32\KERNEL32.EXE"。
如图4所示:
图4填加服务
另外,木马还修改了.TXT文件的关联,sysexplr.exe和TXT文件关联。
即使删除了Kernel32.exe,但只要你打开TXT文件,sysexplr.exe就会被激活,它将再次生成Kernel32.exe,于是冰河又回来了。
(文件关联,没有写入汇总表中,数据库建立是否不够全面?
)
2.2.4系统通信端口监测
通过TCPView监测KERNEL32.EXE开启了TCP7626端口。
如图5所示:
图5开启端口7626
2.3样本外部特征总结
文件特征:
创建文件
文件路径
文件类型
KERNEL32.EXE
C:
\Windows\system32
只读
SYSEXPLR.EXE
C:
\Windows\system32
只读
注册表特征:
路径
键名
文件类型
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
Default
C:
\WINDOWS\system32\KERNEL32.EXE
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Default
C:
\WINDOWS\system32\KERNEL32.EXE
进程特征:
进程名
KERNEL32.EXE
开启端口:
端口类型
端口号
TCP
7626
2.4木马清除方法
1、删除C:
Windows\system下的Kernel32.exe和Sysexplr.exe文件。
2、删除注册表HKEY_LOCAL_MACHINE/software/microsoft/windows/
CurrentVersionRun下键值为C:
/windows/system/Kernel32.exe。
删除注册表HKEY_LOCAL_MACHINE/software/microsoft/windows/CurrentVersion/Runservices下键值为C:
/windows/system/Kernel32.exe。
3、最后,改注册表HKEY_CLASSES_ROOT/txtfile/shell/open/command下的默认值,由中木马后的C:
/windows/system/Sysexplr.exe%1改为正常情况下的C:
/windows/notepad.exe%1,即可恢复TXT文件关联功能。
3xueranwyt.exe木马分析与监测
3.1木马xueranwyt.exe介绍
xueranwyt.exe并没有在主机中释放文件,只修改了IE的一些设置。
//需要说明木马、恶意代码的样本情况
3.2样本分析
3.2.1进程监测
当运行样本(什么样本?
)后,发现样本开启xueranwyt.exe进程,并打开了IEXPLORE.EXE进程。
可能是应用IE内核(用工具进一步分析,调用的模块等精确信息)做一操作。
如图6所示:
图6开启进程xueranwyt.exe
3.2.2文件监测
样本先创建了一个临时文件,并把自己先放入这个临时文件中。
如图7所示:
图7临时文件1900
然后又创建了一个名为9的任务。
如下图8所示:
图8新建任务9
该样本并没有释放任何文件只要有一些临时文件,还有扫描了整个电脑所有的文件夹(有何目的?
)。
3.2.3注册表监控
样本先更改了计算机的文件设置,设置了自动隐藏可属性为Hide的文件。
如图9所示:
图9修改文件属性
样本接下来修改了大量的IE信息,更改了IE的缓存目录。
并把IE的一些特征再刚才释放的临时文件相关联。
如图10所示:
图10修改IE信息
3.2.4端口监测
从监测工具上可以看到样本打了UDP端口1251。
如图11所示:
图11开启端口1251
3.3样本外部特征总结
//以上分析的特征信息都能放到数据库中吗?
都总结了吗?
文件特征:
创建文件
文件路径
文件类型
9
C:
\Windows\tasks\
任务
Puefdo.dll
C:
\Windows\System32\
只读
进程特征:
进程名
xueranwyt.exe
开启端口:
端口类型
端口号
UDP
1215
3.4解决方案
关闭进程xueranwyt.exe和所有打开的iexplorer.exe进程。
删除C:
\Windows\tasks\9,跟C:
\Windows\System32\puefdo.dll。
同时关闭UDP端口1215。
42.exe木马分析与监测
4.1木马样本2.exe介绍
这是一个基于远程控制的木马,从监测软件可以看到远程控制的IP地址为202.111.148.133。
他开启了2.exe做为通信进程。
4.2样本分析
4.2.1进程监控
从Procexp软件可以明显的看到,有一个2.EXE进程。
这个就是木马样开启的进程。
如图12所示:
图12开启进程2.exe
4.2.2文件监控
样本先把自身全部信息都拷到Temp目录下,生所一个2.exe。
如图13所示:
图12临时文件2.exe
样本随后又创建了一个fbagent.job任务在C:
\WINDOWS\Tasks目录下面。
如下图13所示:
图13新建任务fbagent.job
样本又在目录C:
\DocumentsandSettings\AdministraTor\ApplocationData创建了一个dod.exe。
他又修注册表把一个键值指向这个目录。
如下图14所示:
图14新建文件dod.exe
4.2.3注册表监控
样本先在HKCU\Software\Microsoft\VisualBasic\下创建一个6.0键,但是没有键值。
如下图15:
图15新建6.0键
样本先在C:
\DocumentsandSettings\AdministraTor\ApplocationData下创建了一个dod.exe。
现在又填加了一个建值指向了这个目录。
如下图16所示:
图16AppData指向dod.exe
样本又创建了两个键,分别是facebook和twitter。
这两个的值为空,可能是样本做的一些广告推广。
如图17所示:
图17
4.2.4端口检测
从监控软件里可以清楚的看到2.exe进程开启了TCP类型1406号端口。
远程主机开启了80端口做为接收端口。
如下图18所示:
图18开启端口1406
4.3样本外部特征总结
文件特征:
创建文件
文件路径
文件类型
fbagent.job
C:
\WINDOWS\Tasks
只读
dod.exe
C:
\DocumentsandSettings\AdministraTor\ApplocationData
只读
注册表特征:
路径
键名
文件类型
HKLM\Software\Microsoft\CurrentVersion\Explorer\ShellFolders
AppData
C:
\DocumentsandSettings\AdministraTor\ApplocationData
进程特征:
进程名
2.exe
开启端口:
端口类型
端口号
TCP
1406
4.4解决方案
关闭2.exe进程,删除C:
\WINDOWS\Tasks\fbagent.job和C:
\DocumentsandSettings\AdministraTor\ApplocationData\dod.exe。
并删掉注册表HKLM\Software\Microsoft\CurrentVersion\Explorer\ShellFolders\AppData。
5红蜘蛛样本分析与检测
5.1样本介绍
该样一但感染会在System32下生成两个文件,RedSpider.dll和RedSpider.exe。
并使用进程隐藏技术。
5.2样本分析
5.2.1进程检测
该样本没有填加任何进程,但使用了进程隐藏技术,在Explorer.exe下插入了RedSpider.dll。
如下图19所示:
图19插入redspider.dll
5.2.2文件检测
木马在系统目录“%systemroot%”创建可执行文件redspider.exe和动态链接文件redspider.dll,在系统分区创建临时文件inflesible.wav。
如图20所示:
图20创建临时文件inflesible.wav
图21创建文件redspider.dll和redspider.exe
5.2.3注册表监控
木马将创建的redspider.exe文件设为开机启动(在注册表HKLM\Run下)。
如图22所示:
图22开机启动
5.2.4端口监控
从TCPView中可以看到样本没有开启任何端口。
5.3样本外部特征总结
文件特征:
创建文件
文件路径
文件类型
redspider.exe
C:
\WINDOWS\system32
只读
redspider.dll
C:
\WINDOWS\system32
只读
注册表特征:
路径
键名
文件类型
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentWersion\Run
RedSpider
C:
\WINDOWS\system32\redspider.exe
进程特征:
进程名
插入ID
explorer.exe
redspider.dll
5.4解决方案
删除C:
\WINDOWS\system32下redspider.dll和redspider.exe两个文件;删除KEEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentWersion\Run下的Redspider.exe的开机启动项。
6031gangsir.ch.exe样本分析
6.1样本介绍
当运行样本后,然后就弹出一个网页,但是浏览器已经变了。
无论你打开的是不是IE但浏览器都变成了世界之窗!
6.2样本分析
6.2.1进程监控
由进程软件可以看出,样本没有新建进程。
031gangsir.ch.exe运行了几秒钟之后就消失了。
6.2.2文件监控
样本先修改了shell32.dll系统文件。
如图23所示:
图23修改文件shell32.dll
样本又修改了本机中的历史文件目录。
如图24所示:
图24修改历史文件目录
样本修改了IE浏览器,使每次你打开IE时找开的也是它指定的浏览器。
如图25所示:
图25
样本还设置了浏览器的Cookies目录。
如图26所示:
图26
6.2.3注册表监控
样本先新建了一个InternetSettings键。
如图27所示:
图27
样本通过修改注册表,修改了网页的打开方式,使每次打开网页都能用它指定的浏览器。
即使你双击的是IE浏览器。
如图28所示:
图28
创建一个新键,A8844,并添加了子键fhdbfhmdih。
如图29所示:
图29
6.2.4端口监控
从监控软件中可以看出,样本没有打开任何端口。
6.3样本特征总结
注册表特征:
路径
键名
文件类型
HKCU\Software\A8844\
fhdbfhmdih
<<<<
6.4解决方案
删除世界之窗浏览器,修复shell32.dll文件。
并修注册表更改网页的打开方式,删除HKCU\Software\A8844\和其下面的子键。
7015gangsir.CN.exe样本监测与分析
7.1样本简介
用了大半天的时间来分析这个样。
这个样本真的很牛,用了很多工具也用了很多时间,但得到的信息还是很少。
这个是驱动级的样本。
7.2样本分析
7.2.1进程监控
多次运行这个样本,但他生成的进程都不一样。
不过不是Gkumia.exe就是Gkumib.exe。
如下图所示,这可能就是病毒的高明之处。
如图30,31所示:
图30
图31
7.2.2文件监控
样本先在C:
\WINDOWS\目录下创建一个Gkumia.exe文件或Gkumib.exe文件。
如图32所示:
图32
文件件在添加了一个新的任务C:
\WINDOWS\Tadks\目录下,任务名为{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job。
如图33所示:
图33
样本还修改了IE的一些设置,包括IE的缓存和临时文件。
如图34所示:
图34
之后样本又往IECookies写入了一些Cookies。
如图35所示:
图35
7.2.3注册表监控
注册表只见到样本填加了一个Parameters如下图。
如图36所示:
图36
7.2.4端口监控
样本在刚开始运的时候打开了很多的端口,但每次运行样本的时候样本打开的端口都不一样,这可能不是一个时时通信的样本,所以没法记录打开端口。
7.3样本外部特征总结
文件特征:
创建文件
文件路径
文件类型
Gkumia.exe
C:
\WINDOWS\
只读
Gkumib.exe
C:
\WINDOWS\
只读
{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
C:
\WINDOWS\Tadks\
隐藏
进程特征:
进程名
Gkumia.exe
Gkumib.exe
7.4解决方案
关闭Gkumia.exe或Gkumib.exe进程,清除IE缓存,删除{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job任务。
如果还不能清除些样本,刚可以用杀毒样本系统杀毒。
8027gangsir.CN.exe样本监测与分析
8.1样本信息介绍
此样本新建了一个文件仿造MSN的进程名,然后大量的修改了注册表信息,也释放了很多垃圾。
8.2样本分析
8.2.1进程监控
样本先把自己复制到C:
\WINDOWS\目录下,仿造MSN的进程名命名了一个文件。
然后启动该进程。
如图37所示:
图37
8.2.2文件监控
样本启动后把自己复制到C:
\WINDOWS\目录下,仿造MSN的进程名命名为msnmsgr.exe。
如图38所示:
图38
8.2.3注册表监控
本样先在HKLM\SO
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 恶意代码 分析 实例