开发学院网络安全黑客技术 国内资深黑客浅谈恶意代码的研究分析 阅读

国内资深黑客浅谈恶意代码的研究分析

 2008-06-05 16:48:23 来源:WEB开发网   
核心提示: 协议:TCP域名或IP地址:www.163.com (202.108.9.34)端口:80对目标主机的操作:通过QQ代理进行访问www.cache.split.netease.com协议:TCP域名或IP地址:www.sohu.com (61.135.188.65)端口:80对目标主机的操

协议:TCP

域名或IP地址:www.163.com (202.108.9.34)

端口:80

对目标主机的操作:通过QQ代理进行访问www.cache.split.netease.com

协议:TCP

域名或IP地址:www.sohu.com (61.135.188.65)

端口:80

对目标主机的操作:通过QQ代理进行访问www.pagegrp7.a.sohu.com

协议:TCP

域名或IP地址:www.google.com (64.233.189.99)

端口:80

对目标主机的操作:通过QQ代理进行访问www-china.l.google.com

……

病毒感染后,带有QQ尾巴的功能,能通过QQ代理访问上述网址。

◆通过静态分析调式,进一步分析病毒的一些特征行为。样本中病毒释放后,病毒体为spo0lsv.exe文件,因此需要对此病毒做壳的侦查及脱壳工作(略过)。通过IDA静态分析工具分析脱壳后的spo0lsv.exe样本,如下图所示:

国内资深黑客浅谈恶意代码的研究分析

通过观察“strings”窗口,可以初步分析样本的一些情况。如可以看出样本是用Delphi语言编写的等等。通过观察“Imports”窗口中的API函数,可以看到系统调过了一些网络行为的API函数,如InternetOpenUrlA、InternetOpenA、URLDownloadToFileA等函数。结合反汇编代码分析,可以看出病毒会关闭的杀毒软件有VirusScan、NOD32、Symanter AntiVirus、Duba、System Safety Monitor、Wrapped gift Killer、游戏木马检测大师、超级巡警、IcdSword等等。病毒会删除系统的共享文件:

cmd.exe /c net share

$ /del /y

cmd.exe /c net share admin$ /del /y

遍历盘符在各分区和移动存储介质中释放隐藏病毒文件和autorun.inf,使用Windows自动播放功能来传播病毒;以批处理的形式将病毒原文件删除。

◆通过动态分析调式,使用OllyDBG工具进行调式,进一步分析样本的操作行为。通过跟踪调式,发现样本可以使用API函数URLDownloadToFileA将其他病毒程序下载到本地并运行,样本中带有下载病毒文件的地址,但在程序中没有激活,所以没有真正下载的动作。本病毒包含原来的熊猫烧香病毒的特征以及金猪报喜的特征。

国内资深黑客浅谈恶意代码的研究分析

最后要把分析过程中的结果形成相关的恶意代码分析报告,收集恶意代码的样本、释放的文件、以及网络行为的数据包,并对恶意代码进行命名规范,而且还需要对样本使用MD5进行完整性校验。

本文主要说明恶意代码及其相关的分析研究流程,至于通过逆向工具具体分析恶意代码的操作实验步骤,叶子将在以后的文章中做进一步的介绍。

上一页  1 2 3 4 5 6 

Tags:国内 资深 黑客

编辑录入:爽爽 [复制链接] [打 印]
[]
  • 好
  • 好的评价 如果觉得好,就请您
      0%(0)
  • 差
  • 差的评价 如果觉得差,就请您
      0%(0)
赞助商链接