病毒分析报告-样本MD5 : 1576C10BD588D5EC4F22D43ED83FD2D0
0.如何查杀及样本评点请看文末
+——————————————————–+
+ 获取日期: 2015-07-13 +
+ 样本来源: 精锐 +
+——————————————————–+
1.特征
+——————————————————–+
+ 样本编号: 04 +
+ 样本名称: 无名称信息 +
+ 样本大小: 675840 字节 +
+ 样本MD5 : 1576C10BD588D5EC4F22D43ED83FD2D0 +
+—SHA256:6CDDDBDE8B72694B9B75F70391B80D09EF94182B98EC2B0F502CAAEC1DD14499+
+——————————————————–+
2.外部特征
//Logo,属性,证书,etc.
图标:无
链接时间:2012.04.15/18:06:52
源文件名:MSRSAAP.EXE
产品名称:Remote Service Application
公司:Microsoft Corp.
版权:Copyright (C) 1999
证书:无
编译工具等信息:
Borland Delphi 2006/2007 - www.borland.com [ * Internet Behavior on ->> wsock32.dll
3.行为
0 . 运行环境
xp
1 . 进程
创建新进程:
无.
创建新线程:
导入了GdiPlus.dll
2 . 文件行为
释放如下文件:
C:\Documents and Setting\Administrator\Application Data\dclogs\2015-07-13-2.dc
内容摘要:
”’
:: SysTracer - C:\Documents and Settings\Administrator\桌面\可识别1234\可识别\04.vir.exe (12:24:17)
[DOWN][UP][DOWN][UP][DOWN][DOWN][DOWN][DOWN][DOWN][DOWN][UP][UP][UP][UP][UP][UP][DOWN][DOWN][DOWN][DOWN][DOWN][DOWN][DOWN][DOWN][DOWN][UP][UP][UP][UP][UP][UP][UP]
:: PowerTool x86 V4.6 (12:27:10)
:: 04 (12:27:22)
:: PowerTool x86 V4.6 (12:29:39)
:: Clipboard Change : size = 0 Bytes (12:29:39)
:: SysTracer - C:\Documents and Settings\Administrator\桌面\可识别1234\可识别\04.vir.exe (12:29:54)
:: Program Manager (12:32:42)
”’
删除如下文件:
无
感染如下文件:
无
3 . 网络行为
3.1 解析域名
lole.no-ip.biz
3.2 数据交互
无
4 . 行为
4.1 系统服务
无
4.2 注册表
.1创建
HKCU\Software\DC3_FEXEC
.2设置
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
项/键名: AppData
数据: C:\Documents and Settings\Administrator\Application Data
.3设置
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C
键值:BaseClass
数据:Drive
.4设置
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\D
键值:BaseClass
数据:Drive
4.3Hook
1全局钩子
以自身模块为信息设置全局钩子.
5 . 自我保护
无.(有提权操作)
6 . 总结
该样本是恶意软件.
分析感言
该样本属性信息伪装微软程序.使用全局钩子窃取用户键入,属于典型键盘记录程序.通过将用户输入内容记录后发送到一个国外免费静态转动态中转网站(类似于花生壳)来达到窃密的目的.值得注意的是此样本并没有设置启动项的步骤.由于没有加壳又没有任何干扰.行为较为简单.认为这可能是某个新手的试水之作.
查杀密招
直接用任务管理器结束掉此程序,并删除以上被添加被修改的注册表项即可.