相似病毒样本比较优势

通过相似度搜索(API特性),找到与474021c030296d57b9989f0d5e7268b0最相似度病毒如下,从动态API调用来看,这些病毒样本完全相同,但是却拥有不同的md5值,说明有些地方做了修改。


(u'57ec20220f1d2f210cb7d09a6006ffb2', 1.0)
(u'474021c030296d57b9989f0d5e7268b0', 1.0)
(u'b5d58ae0c45789e81435591b94ece226', 1.0)
(u'39a6fa3a4f02021f7fa1099cbb8b0878', 1.0)
(u'a27c5cde1fe112d516c09802ea5a7073', 1.0)
(u'c00ef9decbb21b18556b343762008160', 1.0)
(u'51ab5cf8c647276f397d79e269e53c24', 1.0)
(u'79db8c075241b2a2d3bb3688e5b57e19', 1.0)
(u'00f04b3f1cc247992bcfca92f1e20643', 1.0)

通过对比相似的样本可以有以下好处

1. 找到免杀率较高的病毒


total: 9
57ec20220f1d2f210cb7d09a6006ffb2 None
474021c030296d57b9989f0d5e7268b0 43
b5d58ae0c45789e81435591b94ece226 45
39a6fa3a4f02021f7fa1099cbb8b0878 24
a27c5cde1fe112d516c09802ea5a7073 42
c00ef9decbb21b18556b343762008160 45
51ab5cf8c647276f397d79e269e53c24 41
79db8c075241b2a2d3bb3688e5b57e19 39
00f04b3f1cc247992bcfca92f1e20643 26

上面这组数据表示各个样本在VT上的病毒率,有些报毒量高达45,低的只有24,有一个没有在病毒数据库中出现。

  • (u'Artemis!51AB5CF8C647', 1)
  • (u'Artemis!A27C5CDE1FE1', 1)
  • (u'Artemis!B5D58AE0C457', 1)
  • (u'Artemis!474021C03029', 1)
  • (u'Artemis!00F04B3F1CC2', 1)
  • (u'Generic PWS.y!1ln', 1)
  • (None, 1)
  • (u'RDN/Generic PWS.y', 1)
  • (u'Artemis!C00EF9DECBB2', 1)

上面这组是McAfee的查杀结果,其中一个是None,说明过了McAfee免杀。 我们通过比较这两组数据,找到过了很多杀毒软件的样本。可以将样本进行逆向,以及二进制层面的对比,分析样本是如何进行免杀的。

2. 找到一些共同的行为特性


Signature
(u'The executable is compressed using UPX', 9)
(u'One or more processes crashed', 9)
(u'File has been identified by at least one AntiVirus on VirusTotal as malicious', 8)


Directory_enumerated
(u'C:\Documents and Settings', 9)
(u'C:\Documents and Settings\Administrator', 9)
(u'C:\Documents and Settings\Administrator\Local Settings\Temp', 9)
(u'C:\Documents and Settings\Administrator\Local Settings', 9)
(u'C:\Documents and Settings\Administrator\Local Settings\Temp\tmpfile.exe', 9)


File_created
(u'C:\Documents and Settings\Administrator\Local Settings\Temp\aut6.tmp', 9)

以上数据是签名,目录枚举,文件创建的部分数据,后面表示有这个特性样本的数量特性。 这里就可以确定到此类病毒一定会使用的文件名,目录等特征。

3. 找到一些差异,总结规则


File_created
(u'C:\Documents and Settings\Administrator\Local Settings\Temp\aut6.tmp', 9)
(u'C:\Documents and Settings\Administrator\Local Settings\Temp\xqkkqsk', 1)
(u'C:\Documents and Settings\Administrator\Local Settings\Temp\hwdfdod', 1)
(u'C:\Documents and Settings\Administrator\Local Settings\Temp\eqdgnzw', 1)
(u'C:\Documents and Settings\Administrator\Local Settings\Temp\mefjihn', 1)
(u'C:\Documents and Settings\Administrator\Local Settings\Temp\bidrgth', 1)
(u'C:\Documents and Settings\Administrator\Local Settings\Temp\zejbdqr', 1)
(u'C:\Documents and Settings\Administrator\Local Settings\Temp\nbvsaoh', 1)
(u'C:\Documents and Settings\Administrator\Local Settings\Temp\ppuwgie', 1)
(u'C:\Documents and Settings\Administrator\Local Settings\Temp\ezopifh', 1)

上面是一组完整的文件创建数据,如果只有一个样本,可能会将\Temp\aut6.tmp\Temp\xqkkqsk加入到防护规则中。而其实xqkkqsk 是随机生成的文件名,通过多个样本对比就可以知道这一随机特性,并总结出相关的正则,即在Temp目录下的7位随机小写字母组合。更全面的进行病毒查杀,清理,防护。

4.通过访问URL的形式,分析产生来源


(u'phplinkspro.cu.cc', 1)
(u'hirgudu.freeddns.com', 1)
(u'twegw.ns3.name', 1)
(u'zdcxz.myz.info', 1)
(u'iphonizeme.cu.cc', 1)
(u'twgvw.acmetoy.com', 1)
(u'messageprep.gv.vg', 1)
(u'eztripz.cu.cc', 1)
(u'ifuckedyourgirlfriend.toh.info', 1)


(u'carboss.no-ip.org', 1)
(u'dast1nga.no-ip.org', 1)
(u'dwight.no-ip.org', 1)
(u'elpida.no-ip.org', 1)
(u'gbin2.no-ip.org', 1)
(u'None', 1)

上面是两组是样本对比数据中的域名数据, 第一组形式各异,第二组使用了相同的域名。第二组更有可能是同一个作者开发的没有使用那么广大病毒(no-ip是free DNS,也有可能这个结论是错的)。而第一组更可能是一个通用的远控,由不同的黑客填写不同的控制服务器生成的病毒。

5.其他自有优势

  • 通过文件创建信息,找到病毒遗留的文件
  • 通过删除文件的信息,捕获临时产生的恶意文件
  • 通过签名,找到具体的行为特征
  • 找到访问的域名,执行的命令,写入的注册表等信息。

你可能感兴趣的:(相似病毒样本比较优势)