样本分析(setup.exe)"/>
病毒分析之Virut病毒感染样本分析(setup.exe)
病毒分析之Virut病毒感染样本分析(setup.exe)
样本概况
文件: C:\Users\Hades-win7\Desktop\setup_mima666\setup.exe
大小: 369664 bytes
文件版本:8.0.50727.42 (RTM.050727-4200)
修改时间: 2014年4月21日, 11:18:00
MD5: E29DAE6188A0B0BB797C42F68D8DFA41
SHA1: 16B5B2BBEFD499AAE7B3B6111ABB2409AC76FAB1
CRC32: 43952BC7
该样本为正常程序被病毒感染后的样本,运行效果如图:
恶意行为
2.1创建内存映射,注入进程2.2修改注册表,添加防火墙信任列表
2.3挂钩系统函数,过滤消息感染进程
2.4连接恶意网址,发送数据,接收数据,接受远程控制(服务器ilo.brenz.pl ant.trenz.pl)
2.5感染移动磁盘,复制病毒并创建autorun.inf文件,写入启动信息为病毒
2.6感染可执行文件
分析记录
执行完病毒代码后,调用原程序执行.
创建病毒文件到临时目录
通过Hash值来动态获取函数地址.
更多推荐
病毒分析之Virut病毒感染样本分析(setup.exe)
发布评论