木马
分析师练手样本分享
JustPlay 2018-04-04 10:53:34 1005人浏览

这个样本是lzazrus团伙使用的样本,没有进行加壳和混淆,代码中包含的恶意行为也比较全面,可以当作学习分析一下。

先简单说一下其中的几个行为(证明我也分析了一下)

1.样本首次运行会在注册表设置相关项,再次运行的话,如果发现有自己设置的注册表就会退出

2.创建两个线程,其中一个循环遍历进程,结束分析师常用的一些软件,另一个线程具有关闭服务的功能

3.判断自身所处的路径,如果不在c:\windows\system32下,就将自身复制到这个路径下并启动程序,然后退出自身

4.修改hosts文件,将一些安全厂商的网址重定向到127.xxx.xxx.xxx,下表为dump出来的网址,ip是随机产生的

127.137.7.20 www.symantec.com
127.103.85.165 securityresponse.symantec.com
127.108.72.61 symantec.com
127.121.196.100 www.mcafee.com
127.201.181.203 mcafee.com
127.125.22.198 us.mcafee.com
127.136.140.177 www.sophos.com
127.105.35.31 sophos.com
127.200.84.147 www.viruslist.com
127.123.198.244 viruslist.com
127.244.172.79 f-secure.com
127.47.181.48 www.f-secure.com
127.195.31.147 kaspersky.com
127.26.98.173 www.avp.com
127.79.155.216 www.kaspersky.com
127.172.232.106 avp.com
127.197.99.151 www.networkassociates.com
127.60.47.253 networkassociates.com
127.99.143.157 www.ca.com
127.251.196.29 ca.com
127.180.120.189 my-etrust.com
127.157.40.97 www.my-etrust.com
127.85.162.83 secure.nai.com
127.207.116.137 nai.com
127.159.255.94 www.nai.com
127.219.169.225 trendmicro.com
127.16.170.21 www.trendmicro.com
127.11.15.162 housecall.trendmicro.com
127.71.93.62 www.pandasoftware.com
127.168.92.104 www.bitdefender.com
127.238.89.185 www.ravantivirus.com
127.162.171.6 www3.ca.com
127.235.119.247v4.windowsupdate.microsoft.com
127.77.100.102 windowsupdate.microsoft.com
127.167.151.88 www.windowsupdate.com
127.177.163.59 windowsupdate.com

他有些行为 是针对系统进行的,目标系统为XP,win2k,winNT。

样本连接的一些域名和ip可以从微步云沙箱中查看,同时可以从云沙箱中下载样本进行分析学习:

https://s.threatbook.cn/report/win7_sp1_enx86_office2013_sp1/59dcab059d5935f3fd21c4c976e89e7c470b1e565191590792baad33393de5fd/?utm_campaign=vb&utm_medium=tz&utm_source=Adconly&gio_link_id=LPdN059N

评论 15
匿名用户 2018-05-22 16:04:15 回复
还有这种操作?
匿名用户 2018-05-21 16:18:03 回复
不错
匿名用户 2018-05-21 16:11:59 回复
姿势可以
匿名用户 2018-05-21 16:10:36 回复
姿势可以
匿名用户 2018-05-21 16:07:52 回复
学习学习1
h0st 2018-05-21 16:07:20 回复
新姿势学习下。。。
匿名用户 2018-05-21 16:06:32 回复
学习学习
匿名用户 2018-05-21 16:04:44 回复
厉害了
匿名用户 2018-05-21 15:57:07 回复
学习个
匿名用户 2018-05-21 15:50:17 回复
niupi 1
匿名用户 2018-05-21 15:49:19 回复
niupi
匿名用户 2018-05-21 15:48:04 回复
77777
匿名用户 2018-05-21 15:46:59 回复
666
匿名用户 2018-05-21 15:45:40 回复
666
匿名用户 2018-05-21 15:44:35 回复
666