作者:龙飞雪
0x1序言
前面已经对感染型木马病毒resvr.exe的病毒行为进行了具体的分析见一个感染型木马病毒分析(一),但是觉得还不够,不把这个感染型木马病毒的行为的亮点进行分析一下就有点遗憾了。下面就针对该感染型木马病毒的感染性、木马性以及被感染文件的恢复几个方面进行具体的分析和说明,直观感受一下病毒的感染性、木马性质。
0x2病毒木马性的分析---远程...
分类:
其他好文 时间:
2015-08-12 19:27:57
阅读次数:
142
一、通过在线工具进行测试1.腾讯金刚审计系统service.security.tencent优点:包含了修复建议2.阿里聚安全检测网址: jag.alibaba阿里聚安全下有自己的安全博客,包含一些:1.安全漏洞、2.病毒分析、3.技术研究、4.安全报告相关文档。3.360捉虫猎手检测结果appsc...
分类:
移动开发 时间:
2015-08-06 18:09:14
阅读次数:
195
一、病毒样本简述
初次拿到样本 KWSUpreport_感染.exe.v 文件,通过使用PE工具,并不能辨别出该样本是那种感染类型,使用了一个比较直接的方法,从网上查资料,获取到了该样本的正常EXE文件的一些信息,资料表明:KWSUpreport.exe
是2009年版金山网盾程序的一个上传用户报告的程序模块,因此从网上下载了该版本的金山网盾程序,获取到了正常的KWSUpreport....
分类:
其他好文 时间:
2015-05-23 14:21:11
阅读次数:
158
一、 病毒样本基本信息
样本名称:kspoold.exe
样本大小: 285184 字节
样本MD5:CF36D2C3023138FE694FFE4666B4B1B2
病毒名称:Win32/Trojan.Spy.a5e
计算机系统中了该病毒一个比较明显的特征就是U盘里的.doc、.xls文件会被病毒隐藏起来,变成kspoold.exe病毒的载体文件,误导用户以为是原来的.d...
分类:
其他好文 时间:
2015-05-22 11:40:15
阅读次数:
135
一、 样本基本信息
样本名称:927354529512.scr
样本大小:110592 字节
病毒名称:Win32.Trojan.Ctb-locker.Auto
样本MD5值:3A6D7E551C132AC4C40D95394938F266
二、 样本脱壳
该样本的出现的时间是2015.5.14日,和今年4月底出现的敲诈者病毒是同一批次,因为下载病毒的网址是一样的...
分类:
其他好文 时间:
2015-05-16 14:55:57
阅读次数:
194
一、事件回放
网络管理员在服务器上通过网络监控软件检测到,有程序在不断向外发包,并且ip地址显示国外的区域,经过相关安全工程师的分析和定位,最确定是微软操作系统上的Power Shell程序出现异常。发现的这个Power Shell程序和微软操作系统上的Power Shell程序不同,出现异常的这个Power Shell会不断的向外发包。经过该安全工程师的分析和反编译程序,最终得到了下面这段关键...
分类:
系统相关 时间:
2015-05-13 14:58:02
阅读次数:
635
样本名称:TaBAccelerate.dll
样本大小:1135104 字节
样本MD5:7AEF6EEECB37685D17F3D9BD76FA9EA0
样本SHA1: EB1E5ABA7C37973BAF0576D953E29D515F29EF1C
一、查壳
在样本的分析和鉴定的时候,不是一拿到样本就开始使用IDA或者OnllyDebug进行反汇编的分析,推荐先用查壳软件...
分类:
其他好文 时间:
2015-05-05 19:47:33
阅读次数:
226
一、病毒名称:Win32.Loader.bx.V
二、分析工具:IDA 5.5、OllyDebug、StudPE
三、PE病毒简介:
PE病毒感染的方式比较多,也比较复杂也比较难分析,下面就针对PE文件感染之加节的方式进行汇编层次的深度分析,其实说来惭愧,第一接触这个病毒样本的时候也有
点手足无措,最后还是在别人的指导下才顺利的分析下来,开始分析该样本的时候,仅仅关注这个样本是木马病毒这个...
一、背景介绍
蠕虫病毒是一种通过网络传播的恶意病毒,出现的时间晚于木马及宏病毒,但其传播速 度最快,传播范围最广。其传播主要体现在以下两个方面:
1.系统漏洞
2.电子邮件
二、蠕虫病毒的基本程序结构:主程序+引导程序
a) 传播模块:负责蠕虫的传播。
b) 隐藏模块:侵入主机后,隐藏蠕虫程序,防止被用户发现。
c) 目的功能模块:实现对计算机的控制、监视或破坏等功能。
d) 传播...
分类:
其他好文 时间:
2015-02-27 10:13:31
阅读次数:
563
